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内 容 提 要 


本 书 从 专业 社会 工程 人 员 的 视角 ， 详 细 介 绍 了 钓鱼 欺诈 中 所 使 用 









































具 ， 帮 助 读者 辩 识 和 防范 各 种 类 型 和 难度 级 别 的 钓鱼 欺诈 。 本 书包 含 
示 了 恶意 钓鱼 攻击 者 的 各 种 手段 。 本 书 还 针对 企业 如 何 防范 钓鱼 攻击 
供 了 切实 可 行 的 意见 。 本 书 提 供 了 企业 和 个 人 面 对 现 实 中 的 社会 工程 问题 和 风险 的 无 可 替代 





























的 解决 方案 。 











的 心理 学 原则 和 技术 工 
大 量 真实 案例 ， 全 面 展 
并 组 织 开展 相关 培训 提 
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All Rights Reserved. This translation published under license. Authorized translation 
from the English language edition, entitled Phishing Dark Waters: The Offensive and 
Defensive Sides of Malicious E-mails, ISBN 9781118958476, by Christopher Hadnagy 
and Michele Fincher, Published by John Wiley & Sons. No part of this book may be 
reproduced in any form without the written permission of the original copyrights holder. 

Simplified Chinese translation edition published by POSTS & TELECOM PRESS 
Copyright © 2016. 


本 书简 体 中 文 版 由 John Wiley & Sons, Inc. 授 权 人 民 邮电 出 版 社 独家 出 版 。 
本 书 封底 贴 有 John Wiley & Sons, Inc .激光 防伪 标签 ， 无 标签 者 不 得 销售 。 
版 权 所 有 ， 侵 权 必 究 。 


说 以 此 书 献 给 那些 使 得 它 顺 利 出 版 的 人 。 我 的 妻子 阿 丽 莎 ,你 是 我 遇见 过 的 
最 耐心 、 普 良和 有 智慧 的 人 。 我 会 永远 坚持 自己 的 梦想 。 


米 歇 尔 ， 多 亏 平 多 年 前 推荐 了 你 。 没 有 你 ， 这 一 切 都 不 可 能 实现 。 


大 卫 ， 当 我 写 下 这 些 话 时 ， 我 都 无 法 相信 我 们 已 经 走 了 这 么 远 。 谢 谢 你 的 
支持 。 


一 一 克里斯托弗 ， 海德 纳 吉 


献 给 我 的 丈夫 ， 你 是 宇宙 中 最 美丽 的 灵魂 ， 是 我 整个 人 生 的 主宰 。 


也 献 给 克 里 斯 托 弟 ， 谢 谢 你 给 我 这 份 工作 并 且 信 任 我 。 
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无 论 你 是 否 对 那些 针对 主要 商业 公司 、 政 府 部 门 、 电 网 或 者 私有 银行 发 起 的 黑客 攻击 
感到 担 优 ， 你 都 能 从 更 多 的 信息 和 个 人 训练 中 受益 ， 并 以 此 来 保护 自己 、 保 护 公 司 、 
保护 你 所 爱 的 和 所 关心 的 人 ， 避 免 经 济 损失 、 遭 遇 是 从 或 者 更 糟糕 的 情况 。 几 乎 每 一 
起 成 切 的 网 络 攻击 的 核心 都 是 人 的 因素 。 人 的 因素 使 得 坏人 能 找 出 攻击 系统 的 途径 。 
由 于 人 是 每 一 起 成 功 的 安全 攻击 的 核心 要 素 ， 克 里 斯 托 弗 ( 简称 克 里 斯 ) 决心 通过 教 
育 培训 ,结合 他 作为 专业 社会 工程 人 员 ( 白 帽子 ) 和 渗透 测试 者 的 经 验 ， 帮 助 大 型 公 
司 以 及 他 遇 到 的 每 一 个 人 抵御 这 些 攻 击 。 


当 克 里 斯 和 他 出 色 的 合 著 者 兼 训练 伙伴 米黄 尔 : 分 奇 一 起 ， 问 我 是 否 愿 意 为 他 们 最 近 
的 一 本 书 作 序 时 ， 我 感到 既 吃 惊 又 荣幸 。 我 多 年 前 遇见 克 里 斯 时 ， 他 刚 创 办 自己 的 公 
司 Social-Engineer。 克 里 斯 曾 ( 并 且 仍 在 ) 主持 一 系列 很 棒 的 播客 访谈 和 节目， 采访 来 
自 人 际 交 互 不 同 领域 的 专家 。 在 那些 日 子 里 ， 克 里 斯 迅速 意识 到 人 是 最 容易 受到 攻击 
的 部 分 ， 并 且 技 术 和 它 的 使 用 者 和 维护 者 一 样 脆弱 。 


我 很 清楚 地 记得 我 和 区 里 斯 多 年 前 的 第 一 次 谈话 。 我 当时 就 对 他 在 行为 学 方面 渊博 的 
学 识 和 充沛 的 热情 印象 深刻 。 更 让 我 印象 深刻 的 是 , 他 的 工作 结合 了 自己 在 人 际 关系 
方面 的 学 识 、 在 安全 领域 多 年 的 工作 经 验 ， 以 及 在 大 型 机 构 协 调和 组 织 培训 项 目的 才 
能 。 最 后 ， 他 的 诚意 和 想 要 帮助 他 人 的 淘 望 ， 让 我 相信 他 是 这 个 领域 了 不 起 的 人 物 。 


无 需 多 言 ， 我 和 克 里 斯 很 快 就 成 了 朋友 。 基 于 帮助 他 人 的 共同 热情 ,我 们 创造 了 一 种 
克 里 斯 和 他 的 合作 伙伴 如 今 成 功 开展 并 正在 拓展 的 训练 , 他 的 合作 伙伴 就 是 空军 学 校 
毕业 生 、 行 为 专家 和 合 著者 米 吹 尔 。 克 里 斯 开阔 了 我 的 眼界 ， 让 我 了 解 到 我 曾经 使 用 
多 年 的 、 用 以 获取 他 人 信任 的 、 让 我 成 为 海军 陆 战 队 军官 的 技术 ， 以 及 作为 FBI 探 员 
用 来 挫败 敌人 的 本 领 ,实际 上 和 恶意 攻击 者 所 使 用 的 技术 是 一 样 的 。 通 过 利用 一 些 建 
立信 任 的 技术 , 黑客 使 得 收 到 恶意 邮件 的 人 以 为 点 击 恶 意 链 接 或 者 采取 某 种 类 似 的 行 
动 才 是 最 符合 他 们 的 利益 的 。 而 克 里 斯 正 是 致力 于 通过 训练 来 阻止 人 们 采取 这 种 危险 
行动 。 

当 我 帮助 别人 时 , 我 在 生活 中 的 方方面面 都 会 用 到 从 克 里 斯 那 里 学 来 的 知识 。 我 也 会 
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教授 政府 和 私有 企业 这 些 容 易 由 于 人 的 因素 而 受到 攻击 的 机 构 一 些 社 会 工程 学 意识 。 
实际 上 , 我 常常 会 把 我 和 克 里 斯 多 年 前 在 华盛顿 州 西雅图 市 开设 第 一 节 社 会 工程 学 认 
证 课程 时 使 用 的 钓鱼 邮件 拿 出 来 。 一 周 的 训练 里 包含 了 大 量 的 实践 练习 ， 参 与 者 会 试 
着 与 他 们 遇 到 的 普通 人 建立 信任 并 施加 影响 。 克 里 斯 用 写字 板 创 建 了 一 封 典 型 的 钓鱼 
邮件 ， 这 封 邮件 他 总 是 在 渗透 测试 中 使 用 ， 并 取得 了 很 大 的 成 功 。 克 里 斯 解释 了 他 是 
如 何 利 用 这 封 邮件 得 到 75% 的 点 击 率 的 。 那 75% 的 人 点 击 了 这 封 邮件 里 的 链接 后 , 会 
立刻 跳 转 到 一 个 训练 网 站 ,里 面 展示 了 一 些 材料 ,帮助 这 些 人 了 解 以 后 应 该 注意 哪些 
方面 。 换 句 话 说 ,学 习 和 教育 变 成 了 一 种 非常 积极 而 非 消极 的 事情 。 在 刚才 提 到 的 那 
封 邮件 的 基础 上 ， 我 们 利用 人 际 关系 和 信任 建立 方面 的 一 些 技巧 对 其 稍微 进行 了 调 
整 ， 在 不 增加 邮件 长 度 的 前 提 下 增加 了 3 种 新 的 技术 。 接 下 来 的 一 周 ， 克 里 斯 告诉 我 
也 用 那 封 修改 后 的 邮件 取得 了 100% 的 点 击 率 。 由 于 训练 有 素 ， 比 起 参加 克 里 斯 加 强 型 
反 钓 鱼 攻击 训练 前 ， 那 家 公司 已 经 取得 了 明显 的 进步 。 


我 所 学 到 的 知识 和 我 的 个 人 经 验 告诉 我 : 克 里 斯 是 这 方面 的 杰出 专家 。 我 一 一 和 这 个 
世界 一 一 都 受益 于 他 的 热情 、 知 识 以 及 教授 别人 知识 的 能 力 ， 这 样 我 们 就 可 以 生活 在 
一 个 更 安全 的 世界 里 。 


本 书 的 内 容 适 合 所 有 人 阅读 ， 可 以 用 于 职业 生涯 和 个 人 生活 的 方方面面 。 克 里 斯 和 米 
鞭 尔 用 他 们 作为 专业 社会 工程 人 员 和 渗透 测试 者 的 实际 经 验 , 阐释 了 人 类 点 击 不 该 点 
击 的 东西 这 一 行为 背后 的 心理 学 。 结 合 克 里 斯 自嘲 式 的 幽默 和 米 软 尔 风 趣 的 点 评 ， 本 
书 可 以 在 保护 你 和 你 的 公司 的 同时 ， 为 你 的 阅读 增添 一 些 乐 趣 。 最 后 ， 本 书 是 一 本 实 
用 手册 , 告诉 你 如 何 经 营 更 安全 、 红火 的 企业 , 同时 让 个 人 生活 免 受 恶意 攻击 者 干扰 。 
通过 阅读 、 记 忆 和 实践 本 书 中 的 内 容 ， 你 能 够 重新 审视 自我 、 你 的 公司 以 及 那些 你 关 
心 的 人 。 如 果 我 们 能 够 处 理 好 恶意 攻击 中 的 首要 因素 一 一 人 的 因素 ,那么 这 个 世界 就 
不 会 遭受 影响 数 百 万 人 的 大 范围 攻击 了 。 















































































































































































































































— —Y € - {Im X (Robin Dreeke)， 
美国 海军 陆 战 队 军官 ， FBI 探 员 / 行 为 学 家 ， 
People Formula (www.peopleformula.com) 创始 人 ， 
畅销 书 It’s Not All About “We "独立 作者 
以 上 观点 和 想法 仅 代表 笔者 个 人 ， 不 代表 上 BI。 


致谢 


2014 年 , 我 的 生活 发 生 了 一 些 改变 , 其 中 一 个 较 好 的 变化 是 我 的 团队 在 成 长 。 RAX 
歇 尔 开始 教授 新 成 员 一 些 钓 鱼 攻击 意识 方法 论 ， 这 也 让 我 意识 到 该 再 写 一 本 书 了 。 


我 们 在 新 闻 中 看 到 的 网 络 攻击 中 大 部 分 都 利用 了 钓鱼 攻击 , 但 是 人 们 仍然 没有 意识 到 
钓鱼 攻击 是 什么 ， 以 及 应 该 如 何 抵御 钓鱼 攻击 。 


然而 , 我 的 客户 见证 了 员工 在 面 对 网 络 钓鱼 邮件 时 的 惊人 变化 一 一 从 80% 以 上 的 点 击 
率 和 少 得 可 怜 的 汇报 率 到 低 于 10% 的 点 击 率 和 超过 60% 的 汇报 率 。 随 着 时 间 的 推移 ， 
这 些 数 据 仍 在 朝 着 好 的 方向 发 展 。 


我 最 近 完 成 了 《社会 工程 卷 2: 解读 胶体 语言 》”， 并 告诉 麦子 我 会 暂时 停 笔 休息 
段 时 间 。 而 当 我 又 开始 写作 时 ， 我 变 成 了 个 隐士 。 妻 子 说 我 “ 难 对 付 ”。 我 仍然 记得 
那个 场景 一 一 我 们 在 公路 上 开车 , 我 想 着 可 以 通过 谈论 一 些 近期 的 安全 新 闻 来 激 起 我 
写本 新 书 的 欲望 。 于 是 我 开始 谈论 钓鱼 攻击 为 什么 是 个 大 问题 ， 并 说 我 希望 能 有 一 本 
书 可 以 帮助 人 们 解决 问题 。 

在 我 说 完 后 ， 我 那 既 聪慧 又 有 惊人 洞察 力 的 妻子 说 :“ 不 ， 不 要 现在 就 开始 写 另 一 本 
书 。 我 做 了 每 个 好 男人 在 这 种 情况 下 都 会 做 的 事 , 把 责任 归咎 于 我 的 得 力 助手 米 砍 尔 。 
“我 和 米黄 尔 认为 这 是 个 好 主意 ， 男 外 她 会 负责 主要 的 写作 工作 。” 


如 今 摆 在 这 里 的 就 是 我 们 的 最 终 成 果 一 一 一 本 细致 的 关于 如 何 增强 企业 钓鱼 防范 意 
识 的 书 。 渗 透 测试 中 的 审计 者 常常 利用 钓鱼 攻击 来 获取 远程 访问 权限 , 但 本 书 不 会 谈 
到 渗透 测试 中 使 用 的 钓鱼 攻击 。 本 书 主要 是 为 了 让 人 们 了 解 他 们 所 在 的 组 织 机 构 会 遇 
到 的 钓鱼 攻击 并 为 此 做 好 准备 。 


我 想 感谢 很 多 人 ,没有 他 们 的 话 ， 这 本 书 不 可 能 成 功 出 版 。 


再 一 次 ,感激 我 的 妻子 阿 丽 莎 。 感 谢 你 的 耐心 和 支持 ,你 总 是 让 我 畅所欲言 ， 即 使 你 
并 不 想 谈 论 这 个 话题 。 我 爱 你 。 






























































































































































@ 该 书 已 经 由 人 民 邮 电 出 版 社 出 版 ， 书 号 9787115382467。 一 一 编者 注 























2| 致 谢 


米 菊 尔 ， 尽 管 最 后 我 没有 让 你 负责 大 部 分 的 写作 任务 , 但 是 如 果 没 有 你 的 支持 ,这 本 
书 也 许 就 不 会 完成 。 谢 谢 你 。 


卡 罗 尔 , 你 为 这 本 书 付出 了 很 多 。 我 想 让 你 知道 你 的 努力 没有 被 忽视 。 感谢 你 的 支持 。 
夏 治 特 ， 和 你 一 起 工作 很 开心 ， 很 顺利 ， 也 很 有 收获 。 谢 谢 你 。 


大 卫 ， 你 知道 的 ， 当 你 没有 跟 我 开玩笑 、 拿 我 活路 气氛 、 取 笑 我 、 让 我 尴 粹 或 者 用 恼 
人 的 音乐 让 我 生气 的 时 候 ， 你 还 是 很 不 错 的 。 谢 谢 你 对 本 书 的 贡献 。 


Jee - 菲 诺 克 斯 ， 谢 谢 你 让 我 借用 你 的 想法 。 你 长 期 的 支持 和 建议 是 我 继续 下 去 的 
理由 。 


P Fw, E/E Black Hat 会 议 前 ， 如 果 当 时 你 没有 花 3 个 小 时 和 我 谈话 并 向 我 推 
荐 米 软 尔 ， 帮 我 调整 心态 ， 那 么 也 许 就 不 会 有 这 本 书 了 。 


我 的 队友 一 一 阿曼 达 、 迈 克 、 科 林 、 杰 西 卡 和 塔 玛 拉 ， 谢谢 你 们 在 我 和 米 软 尔 需 要 抓 
紧 写作 的 时 候 支持 并 帮助 我 们 。 


Ty, 真是 见鬼 了 , 谁 能 想到 一 起 工作 这 么 年 后 我 们 会 是 现在 这 样 呢 ?” 谢 谢 你 长 期 的 
支持 、 友 谊 和 帮助 ， 也 十 分 感谢 你 为 我 的 这 本 书 作 序 。 


我 忠实 的 客户 、 顾 客 和 朋友 们 同意 我 使 用 他 们 的 点 子 ， 谢谢 你 们 。 

我 知道 我 的 前 两 本 书 无 法 让 所 有 人 都 满意 。 对 于 这 本 书 ， 肯 定 有 人 读 过 之 后 会 喜欢 ， 
有 人 读 过 之 后 会 反感 。 如 果 你 发 现 了 错误 ， 或 看 到 了 你 不 喜欢 或 者 不 同意 的 部 分 ,请 
联系 我 和 米 吹 尔 ， 给 我 们 一 个 机 会 来 解释 或 者 更 正 。 

我 希望 你 能 看 到 本 书 背 后 付出 的 汗水 和 心血 ， 你 会 发 现 这 本 书 不 仅 有 趣 ， 同 时 也 对 你 
理解 、 教 授 和 抵御 钓鱼 攻击 有 所 帮助 。 


再 次 感谢 你 们 证 我 在 你 们 心中 停留 一 小 会 儿 。 





































































































一 一 克里斯托弗 … 海德 纳 吉 ，Social-Engineer 公司 CEO 和 创始 人 


尽管 没 人 会 为 了 取乐 而 读 一 本 关于 钓鱼 攻击 的 书 , 但 我 还 是 希望 你 在 这 本 书 中 能 乐趣 
和 实用 性 兼 得 。 我 写作 本 书 的 主要 动机 不 仅 是 出 于 对 客户 的 关心 ,也 出 于 对 身边 人 的 
关心 。 我 希望 他 们 的 生活 能 够 更 安全 。 我 的 侄女 和 侄子 已 经 伴随 着 互联 网 长 大 了 ,， W 
到 他 们 可 能 在 人 生 真正 开始 前 ， 就 已 经 成 为 了 网 上 身份 信息 窃取 的 受害 者 ， 我 感到 有 
些 忧 虑 。 因 此 ， 这 不 是 一 本 专门 写 给 安全 专家 看 的 书 ， 而 是 一 本 写 给 所 有 通过 网 络 与 
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世界 相连 的 人 看 的 书 。 


正如 克里斯托弗 所 提 到 的 ， 一 本 书 的 写作 过 程 需要 得 到 很 多 支持 。 如 果 我 遗漏 了 谁 ， 
那么 我 提前 在 这 里 道 菊 。 要 是 没有 你 们 的 帮助 ， 我 可 能 还 在 整 日 为 这 本 书 忙碌 。 


















































和 我 丈夫 结婚 对 我 写作 本 书 是 一 大 益处 。 事 实证 明 ， 他 能 够 一 边 妨 耐 冷 了 的 或 者 烧 糊 
了 的 晚餐 ,一 边 做 研究 并 修改 我 的 书稿 。 我 不 知道 我 们 就 着 比萨 ( 通常 是 由 于 晚餐 冷 
了 或 者 烧 焦 了 ) 进行 过 多 少 次 “你 真 的 想 写 那 个 吗 ” 的 讨论 。 谢 谢 你 ， 亲 爱 的 。 























克里斯托弗 ， 你 本 可 以 让 其 他 人 帮忙 的 ， 而 我 得 到 了 这 个 机 会 ， 我 很 感激 。 
阿曼 达 、 迈 克 、 科 林 、 杰 西 卡 和 塔 玛 拉 , 你 们 知道 自己 有 多 努力 , 我 也 知道 。 谢谢 你 们 。 
Wiley 公司 的 卡 罗 尔 和 夏 洛 特 ， 谢 谢 你 们 让 我 感觉 到 我 的 第 一 次 出 书 经 历 如 此 美好 。 





— —K Bk * H4, Social-Engineer 公司 首席 影响 官 
(Chief Influencing Agent) 


这 世上 没有 公平 竞争 这 一 回 事 。 要 利用 一 切 弱 点 。 
一 一 凯利 * 卡 弗 里 (Cary Caffrey) 


社会 工程 已 经 成 为 大 部 分 IT 部 门 关 注 的 重点 ， 尤 其 是 近 两 年 ， 大 部 分 美国 公司 也 开 
始 关注 社会 工程 。 据 统计 ,超过 60% 的 网 络 攻击 的 关键 因素 或 主要 因素 是 ”人 的 因素 ”。 
对 过 去 12 个 月 里 几乎 所 有 的 大 型 攻击 事件 的 分 析 结 果 表明 ， 绝 大 多 数 攻击 都 与 社会 
工程 有 关 , 涉及 网 络 钓鱼 邮件 ( phishing e-mail )、 鱼 叉 式 网 络 钓鱼 ( spear phish ) 或 恶 


意 来 电 (malicious phone call，vishing )。 

















我 已 经 写 过 两 本 书 来 剖析 骗子 和 社会 工程 人 员 的 心理 、 生 理 和 历史 沿革 。 而 在 写 这 两 
本 书 的 同时 ,我 发 现 了 一 个 最 近 很 火 的 主题 ， 那 就 是 电子 邮件 。 自 从 人 类 发 明 电 子 邮 
件 以 来 ， 它 就 被 骗子 和 社会 工程 人 员 用 来 进行 信用 卡 、 金 钱 和 信息 等 方面 的 欺诈 。 


在 最 近 的 一 份 报告 中 , Radicati 集团 评估 的 结果 显示 ,2014 年 平均 每 天 有 1914 亿 封 电 
子 邮件 被 发 送出 去 ， 这 意味 着 全 年 有 69.8 万 亿 多 封 电子 邮件 被 发 送出 去 。" 你 能 想象 
这 个 数字 吗 ? 69 861 000 000 000， 让 人 大 吃 一 惊 ， 对 吧 ? 但 可 能 更 让 你 吃惊 的 是 ， 
Social-Engineer Infographic 的 信息 显示 ， 超 过 90% 的 电子 邮件 都 是 垃圾 邮件 。” 


电子 邮件 早已 成 为 生活 的 一 部 分 。 我 们 会 在 电脑 、 平 板 电脑 和 手机 上 使 用 电子 邮件 。 
在 兽 经 和 我 共事 过 的 一 些 人 里 ， 有 半数 以 上 告诉 我 他 们 每 天 收 到 100 封 、150 封 甚至 
200 封 邮 件 。 


2014 年 , Radicati 集团 宣称 全 世界 有 41 亿 个 电子 邮件 地 址 。 根 据 这 一 数据 我 进行 了 计 
算 ， 发 现 平 均 下 来 每 个 人 每 天 都 会 收 到 So 封 左右 的 电子 邮件 。 因 为 我 们 知道 并 不 是 
每 个 人 每 天 都 会 收 到 那么 多 邮件 ， 所 以 有 人 每 天 会 收 到 100 封 、150 封 甚至 250 封 邮 
件 也 就 不 足 为 奇 了 。 


























































































































(D Sara Radicati, PhD, “Email Statistics Report, 2014—2018," April 2014, http://www.radicati.com/wp/wp- 
content/uploads/2014/01/Email-Statistics-Report-2014-2018-Executive-Summary.pdf. 

@ Social-Engineer Infographic, April 28, 2014, http://www.social-engineer.org/resources/social-engineering- 
infographic/. 
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随 着 人 们 的 生活 压力 和 工作 负担 加 重 ， 以 及 科技 产品 的 日 益 普 及 ， 骗 子 和 社会 工程 人 
员 知 道 电 子 邮 件 是 渗透 进 我 们 的 工作 和 生活 的 利器 。 再 想 想 伪造 电子 邮件 账户 或 合法 
账户 以 及 愚弄 人 们 让 他 们 做 一 些 不 符合 他 们 利益 的 事 是 多 么 容易 ， 就 会 明白 为 什么 电 
子 邮 件 很 快 就 成 为 了 恶意 攻击 的 头号 媒介 。 


当 我 们 不 在 大 型 会 议 ( 比如 DEF CON) 上 举办 社会 工程 学 竞赛 ,米黄 尔 也 没 在 和 学 
生 斗 智 斗 勇 〈 这 是 真 的 ， 我 发 的 ) 的 时 候 ， 我 们 会 在 全 世界 范围 内 与 一 些 顶尖 的 公司 
一 起 做 安全 项 目 。 即 使 很 多 公司 都 知道 钓鱼 攻击 的 存在 并 且 有 强大 的 安全 措施 来 防范 
钓鱼 攻击 ， 也 还 是 有 人 不 可 避免 地 成 为 钓鱼 攻击 的 牺牲 品 。 


写 这 本 书 时 ， 我 们 的 脑海 中 一 直 在 回想 着 那些 经 历 。 我 们 自问 :“ 我 们 该 如 何 利 用 这 
些 年 和 大 公司 一 起 工作 的 经 验 ， 帮 助 每 个 公司 立即 行动 起 来 ,并 做 好 防范 钓鱼 攻击 的 
教育 培训 呢 ? ” 




























































































我 是 一 名 建筑 师 了 吗 


我 和 米黄 尔 曾 经 在 一 些 地 方 开展 过 一 个 项 目 ， 这 个 项 目 很 简单 但 很 强大 。 它 利用 那些 
攻击 我 们 的 工具 反 过 来 增强 我 们 自己 。 我 们 知道 这 个 想法 不 是 我 们 发 明 的 ， 毕 竞 现 在 
有 不 少 公司 都 在 忽 售 “网 络 钓 鱼 ” 服 务 给 合法 组 织 。 这 些 产 品 的 很 多 使 用 者 一 一 大 公 
司 ， 过 来 找 我 们 说 :“ 我 们 已 经 使 用 这 个 工具 一 年 了 ,但 是 员工 钓鱼 攻击 的 中 招 率 还 
是 很 高 ,我们 该 怎么 办 ? ” 


在 回答 这 个 问题 之 前 ， 让 我 先 讲 一 个 故事 。 我 记得 我 买 第 一 套房 子 快 收 房 的 时 候 ， 我 
和 妻子 都 非常 激动 ，( 我 们 要 拥有 自己 的 房子 了 ! ) 于 是 我 做 了 所 有 拥有 自己 的 房子 的 
男人 都 会 做 的 一 件 事 : 买 一 些 工 具 。 REKE (Home Depot ) 买 了 一 套 精 致 的 工具 ， 
包括 一 把 拉锯 、 一 把 电钻 、 一 把 竖 饮 ， 还 有 其 他 一 些 五 花 八 门 的 工具 。 


把 这 些 工具 买 回 家 的 第 一 天 , 我 在 地 下 室 的 架子 上 找 了 一 个 绝 佳 的 摆 放 位 置 ， 然 后 就 
让 它们 在 那儿 闲置 了 一 年 。 然 后 有 一 天 我 突然 要 锯 点 东西 ， 我 非常 激动 ， 因 为 总 算 有 
机 会 使 用 这 些 新 工具 了 ! 我 拿 出 工具 箱 ， 取 出 圆 锯 。 我 把 所 有 的 说 明 书 都 读 了 一 遍 ， 
包括 :“ 确 定 你 根据 所 锯 的 材料 选择 了 合适 的 锯齿。” 


我 看 了 看 锯齿 ， 心 想 :“ 看 起 来 挺 锋 利 的。” 然 后 我 就 开始 锯 板 子 。 起 初 一 切 顺 利 ， 我 
的 手脚 还 在 ， 板 子 也 锯 开 了 ， 圆 饮 也 没 毁 坏 。 可 是 好 景 不 长 ， 几 小 时 后 圆 饮 突 然 卡 住 
不 动 了 。 于 是 我 给 圆 锯 充 电 , 但 是 没有 什么 作用 。 我 还 拿手 摸 了 一 下 锯齿 ， 锯 齿 依 旧 
很 锋利 。 于 是 我 断定 是 圆 锯 出 了 毛病 :“ 这 锯 子 肯定 有 问题 。 
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然后 我 请 了 一 个 朋友 过 来 玫 我 解决 这 个 问题 ， 他 拿 起 圆 锯 看 了 一 下 说 :“ 你 为 什么 用 
这 种 细密 的 锯齿 来 锯 2x4 的 板子 ?” 


我 回答 道 :“ 你 说 的 是 什么 锯齿 ? ” 
我 的 朋友 摇 了 摇头 ， 然 后 就 饮 齿 的 问题 给 我 上 了 一 课 。 


为 什么 我 要 讲 这 个 丢脸 的 、 缺 乏 男子 气概 的 故事 ， 而 不 是 直接 指出 我 自己 缺乏 男子 气 
概 ? 这 是 为 了 论证 一 个 观点 : 拥有 工具 并 不 会 使 你 成 为 一 名 建筑 师 ! 


同样 , 钓鱼 工具 和 建筑 工具 没什么 区 别 。 仅 仅 购买 工具 并 不 能 保证 你 的 安全 ， 也 不 会 
让 你 有 能 力 教导 其 他 人 防范 钓鱼 攻击 。 


教导 人 们 钓鱼 攻击 


好 了 ,让 我 们 回 到 我 和 米 歇 尔 开展 的 那个 项 目 上 来 : 我 们 分 析 了 钓鱼 攻击 和 安全 防范 
意识 培训 ， 发 现 正如 很 多 安全 专家 所 说 的 那样 ， 这 些 项 目 大 多 都 没有 用 。 


当然 ， 这 里 并 不 是 说 安全 防范 意识 毫 无 作用 ,我 也 不 会 很 傻 很 天 真 地 说 我 们 不 需要 安 
全 防范 意识 。 但 是 现 有 的 安全 防范 意识 训练 采用 的 方法 和 方式 的 确 不 奏效 。 有 人 曾经 
在 安全 防范 意识 训练 中 专注 地 看 了 30 分 钟 或 者 60 分 钟 的 DVD 演示 吗 ? 有 的 话 ， 请 
举 起 你 的 右手 。 好 了 ， 后 排 坐 着 的 那 位 朋友 ,你 可 以 把 你 的 手 放 下 来 了 。 正 如 我 所 猜 
想 的 ， 基 本 上 没有 人 举 手 。 


如 果 训练 中 没有 互动 或 者 训练 时 间 过 长 ,那么 人 们 就 会 在 训练 时 开小差 。 商 人 显然 深 
说 这 一 点 ， 他 们 告诉 我 们 要 把 网 站 做 得 有 趣 一 点 、 互 动 性 强 一 点 、 直 奔 主 题 一 点 ， 这 
样 人 们 才 会 喜欢 。 教 育 的 过 程 难道 不 也 该 如 此 吗 ? 


于 是 我 们 提出 了 一 个 计划 , 把 客户 的 安全 防范 意识 培训 中 钓鱼 攻击 的 部 分 做 得 更 有 趣 
一 些 、 互 动 性 更 强 一 些 。 当 然 ， 最 重要 的 是 不 要 太 隐 长 。 这 也 是 有 必要 写 这 本 书 的 原 
因 ， 我 们 想 要 在 其 中 回答 如 下 一 些 问 题 。 


a 钓鱼 攻击 有 多 严重 ? 

口 心理 学 原则 在 钓鱼 攻击 中 起 到 了 怎样 的 作用 ? 

a 钓鱼 攻击 真 的 可 以 在 安全 防范 意识 训练 中 成 为 一 个 成 功 的 部 分 吗 ? 
口 如 果 说 可 以 ,那么 公司 应 该 如 何 开 展 这 一 训练 呢 ? 


























































































































CD 指 未 处 理 过 的 木材 的 尺寸 。 一 一 译 者 注 








41 引 È 
口 任何 规模 的 公司 都 能 进行 钓鱼 攻击 的 培训 吗 ? 


我 们 列 了 一 下 关于 钓鱼 攻击 的 书 的 提纲 ， 对 我 们 的 项 目 进 行 了 定义 ， 并 对 我 们 的 流程 
进行 了 规范 。 我 们 考虑 了 很 久 是 否 要 把 这 本 书 向 公众 发 行 。 毕 竟 ， 研 究 这 些 方法 花费 
了 很 多 年 。 在 看 到 这 一 项 目 对 客户 的 巨大 帮助 之 后 ， 我 们 决定 写 这 本 书 。 乍 一 看 ， 这 
似乎 是 一 本 大 多 数 人 都 没什么 兴趣 的 书 , 至 少 在 2014 年 不 断 出 事 以 前 是 这 样 的 。2014 
年 ,钓鱼 攻击 在 真实 的 黑客 攻击 中 一 次 又 一 次 地 占据 了 头条 , 每 天 的 攻击 中 都 使 用 了 
钓鱼 攻击 , 钓鱼 攻击 服务 的 提供 者 每 个 月 都 层出不穷 ,全 世界 的 公司 都 开始 跻身 于 礁 
SUA s PS C Iz np 


本 书 主要 内 容 

我 和 米黄 尔 希 望 本 书 可 以 帮助 你 进行 自我 保护 ， 以 及 帮助 公司 防御 恶意 钓鱼 攻击 者 。 
本 书 会 带 你 踏 上 我 们 准备 写 这 本 书 时 所 走 过 的 路 。 

第 1 章 介绍 基础 知识 。 这 一 章 解 释 了 钓鱼 攻击 是 什么 ， 以 及 为 什么 要 使 用 钓鱼 攻击 。 
我 们 列举 了 很 多 最 近 发 生 的 有 效 的 钓鱼 攻击 的 例子 。 

第 2 章 探究 了 钓鱼 攻击 的 原理 。 为 什么 钓鱼 攻击 有 效 ?” 它们 背后 列 含 了 怎样 的 心理 学 
原则 ? 

第 3 章 只 关注 一 个 方面 一 一 影响 ,解释 了 影响 原则 是 如 何 被 恶意 钓鱼 攻击 者 利用 的 。 
第 4 章 讨论 保护 。 前 三 章 已 经 涵盖 了 钓鱼 攻击 的 基础 知识 ， 所 以 是 时 候 讨 论 该 如 何 自 
保 了 。 我 们 分 别 对 普通 人 和 专业 人 十 提出 了 建议 ， 同时 也 分 析 了 我 们 所 听 说 过 的 最 糟 
糕 的 建议 。 

第 5 章 介 绍 了 公司 如 何 开展 钓鱼 攻击 项 目 以 帮助 员工 提高 安全 意识 。 

但 是 你 如 何 把 这 些 内 容 融 入 到 公司 政策 里 ?我 懂 ， RE, 政策 这 个 词 在 这 些 书 里 看 上 
去 似乎 没有 探讨 的 必要 。 但 是 我 们 不 得 不 讨论 它 ， 简 短 而 重要 的 第 6 章 就 是 讨论 这 一 
主题 的 。 

如 果 不 介绍 市 面 上 一 些 重要 的 钓鱼 攻击 软件 的 话 ， 那 么 这 本 书 就 是 不 完整 的 。 第 7 章 
会 介绍 这 些 工具 ， 同 时 告诉 你 如 何 运 用 它们 来 进行 钓鱼 攻击 。 

第 8 章 对 本 书 中 所 有 的 原则 和 讨论 进行 了 总 结 ， 并 对 钓鱼 攻击 训练 的 一 些 原则 进行 了 


讨论 。 
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本 书 排版 约定 
为 了 帮助 你 理解 书 中 内 容 ， 本 书 采用 了 一 些 排版 约定 。 
口 专业 术语 和 重要 的 词汇 用 楷体 表示 。 
说 明 / 警 告 /提示 “表示 注释 、 建 议 、 提 示 、 诀 窍 或 者 当前 讨论 内 容 的 边 注 。 

















本 书 的 主 旧 是 剖析 钓鱼 攻击 是 什么 、 为 什么 它 会 起 作用 ， 以 及 它 背 后 的 原理 是 什么 。 
我 们 想 要 把 钓鱼 攻击 所 有 的 漏洞 都 揭示 出 来 ， 这 样 你 就 能 了 解 如 何 抵御 钓鱼 攻击 。 


在 我 的 上 一 本 书 《 社 会 工程 卷 2: 解读 胶体 语言 》 中 ， 我 讲 了 一 个 剑术 大 师 朋 友 的 
故事 。 他 通过 学 习 关 于 剑术 的 一 切 知识 一 一 如 何 用 剑 以 及 剑术 的 原理 一 一 来 掌握 剑 
术 ， 然 后 找 来 了 最 好 的 陪练 来 帮 他 学 习 如 何 运 用 剑术 。 这 个 故事 在 这 里 也 同样 适用 。 
当 你 学 会 辨认 钓鱼 攻击 ， 熟 悉 钓 鱼 攻击 工具 ， 知 道 如 何 选择 好 搭档 以 后 ， 也 可 以 通过 
创建 钓鱼 攻击 项 目 来 提高 你 的 技术 水 平 ， 同 时 帮助 你 的 同事 、 家 人 和 朋友 抵御 钓鱼 
攻击 。 


在 深入 学 习 之 前 ， 我 们 需要 了 解 一 些 基本 问题 ， 例 如 “什么 是 钓鱼 攻击 ”以 及 “钓鱼 
攻击 有 哪些 例子 ”。 


一 起 来 寻找 这 些 问 题 的 答案 吧 
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真实 世界 的 钓鱼 攻击 


拉 娜 : 你 认为 这 是 某 种 陷阱 吗 ? 
亚 契 :什么 ? 不 ,我 不 认为 这 是 一 个 陷阱 。 尽 管 我 从 来 部 不 认为 它 是 陷阱 …… 
但 它 通常 就 是 陷阱 。 

一 一 《间谍 亚 契 》 第 四 季 第 13 集 





因为 我 们 要 在 一 起 一 段 时 间 ， 所 以 我 觉得 我 应 该 一 开始 就 开 诚 布 公 。 虽 然 我 认为 自己 
是 一 个 相当 聪明 的 人 , 但 我 还 是 犯 过 很 多 思春 的 错误 , 其 中 很 多 始 于 我 大 喊 一 声 “ 嘿 ， 
看 这 个 ”或 者 心 想 “我 想 知道 如 果 < 这 里 插入 一 些 危 险 / 轴 蠢 的 情况 > 会 怎么 样 "。 不 过 
大 多 数 时 候 ， 我 的 错误 并 非 源 于 大 呼 小 叫 或 思考 某 事 的 可 能 性 ， 而 是 由 于 未 经 思考 。 
未 经 思考 通常 导致 一 个 结果 一 一 冲动 。 我 过 去 遇 到 过 骗子 和 罪犯 , 很 清楚 利用 人 们 的 
冲动 是 他 们 成 功 的 关键 因素 之 一 。 各 种 形式 的 网 络 钓鱼 已 经 成 为 一 种 备 受 关注 的 攻击 
手段 ， 因 为 这 是 让 人 们 不 假 思索 行事 的 简单 方法 。 
















































































说 明 在 正式 开始 学 习 之 前 还 有 一 件 事 值得 一 提 。 你 可 能 注意 到 ， 当 指 代 坏 人 的 时 
候 ， 我 用 的 是 “他 ”。 我 并 不 是 性 别 歧 视 ， 也 不 是 说 所 有 的 骗子 都 是 男性 。 使 
用 “他 ” 比 起 为 了 避免 冒犯 任何 人 而 使 用 “他 们 ”或 者 “他 或 她 ”更 加 简洁 ， 
也 避免 了 增加 情况 的 复杂 性 。 因 此 ， 当 我 说 “他 ”做 坏事 的 时 候 ， 实 际 上 这 
个 坏人 可 能 是 指 任何 人 。 














2 第 1 真实 世界 的 钓鱼 攻击 


1.1. 网 络 钓鱼 基础 


让 我 们 从 一 些 基 本 问题 开始 : 什么 是 网 络 钓鱼 ? 我 们 把 它 定义 为 : 以 对 收 件 人 施加 影 
响 或 获得 个 人 信息 为 目的 ， 发 送 看 似 来 自 权威 来 源 的 电子 邮件 。 简 单 地 说 ， 网 络 钓 鱼 
就 是 坏人 发 送 一 些 鬼 鬼 峙 举 的 电子 邮件 。 网 络 钓鱼 结合 了 社会 工程 学 和 诈骗 技巧 。 它 
可 能 是 一 个 电子 邮件 附件 ,会 加 载 恶 意 软件 到 你 的 计算 机 ， 也 可 能 是 到 非法 网 站 的 一 
个 链接 ， 这些 网 站 会 诱骗 用 户 下 载 恶 意 软件 或 泄露 个 人 信息 。 此 外 ， 鱼 又 式 网 络 钓鱼 
是 一 种 非常 有 针对 性 的 攻击 方式 。 攻 击 者 花 时 间 对 目标 进行 研究 ， 然 后 创建 与 目标 个 
人 信息 相关 的 或 者 私人 化 的 电子 邮件 。 正 因为 如 此 ， 鱼 又 式 网 络 钓鱼 非常 难以 检测 ， 
也 更 加 难以 防御 。 










































































在 这 个 星球 上 , 任何 一 个 拥有 电子 邮箱 的 人 可 能 都 收 到 过 网 络 钓鱼 邮件 。 根 据 报 告 里 
的 数据 来 看 ,许多 人 都 点 击 过 邮件 里 的 链接 。 不 过 要 明日 ， 点 击 链接 这 个 行为 并 不 能 
DUAR, 这 只 是 一 个 由 于 你 没有 考虑 周全 而 犯 下 的 错误 , 或 者 是 由 于 你 没有 足够 的 
信息 而 做 出 的 一 个 错误 决定 。( 我 有 一 次 开车 从 密西西比 州 的 比 洛克 西 市 出 发 ,一口 
气 开 到 了 亚利桑那 州 的 图 森 市 ， 这 才 是 真 的 笨 。 ) 








可 以 说 网 络 钓鱼 攻击 的 目标 和 攻击 者 都 有 常见 的 类 型 。 网 络 钓 鱼 者 的 动机 往往 相当 上 典 
型 ， 钱 或 信息 (通常 也 和 钱 有 关 )。 如 果 你 曾 收 到 电子 邮件 ， 部 促 你 协助 被 废 贺 的 王 
子 转移 他 继承 的 遗产 ,那么 说 明 你 也 是 骗局 中 的 一 部 分 。 富 有 的 人 毕 竞 是 少数 ,但 是 
当 一 群 普通 人 捐赠 小 额 的 “转账 费 ” 以 协助 王子 进行 周转 时 ( 往往 是 钓鱼 邮件 中 提出 
的 要 求 )， 网 络 钓鱼 者 就 大 发 其 财 了 。 或 许 你 曾 收 到 过 来 自 银 行 的 电子 邮件 ， 证 你 提 
供 个 人 信息 。 如 果 你 的 身份 被 盗 ， 那么 可 能 会 导致 严重 的 后 果 。 







































































其 他 可 能 的 目标 包括 任何 一 家 公司 的 普通 职员 。 虽 然 职员 单 独 掌 握 的 信息 可 能 有 限 ， 
但 把 登录 信息 误 交 给 黑客 ， 会 让 黑客 得 以 进入 公司 网 络 。 如 果 黑 客 认为 收获 足够 大 ， 
那么 攻击 可 能 到 此 结束 ; 否则 这 也 可 能 是 另 一 起 更 大 攻击 的 开始 。 








除了 普通 人 以 外 ,还 有 一 些 高 价值 目标 ,包括 大 公司 或 者 政府 的 高 层 人 员 。 在 组 织 
的 地 位 越 高 ， 越 有 可 能 成 为 鱼 义 式 网 络 钓鱼 攻击 的 目标 ， 因 为 攻击 者 所 花费 的 时 间 和 
精力 将 会 得 到 不 菲 的 回报 。 这 时 整个 经 济 体 而 非 个 人 的 损失 会 非常 严重 。 






































如 果 攻 击 者 并 非 普 通 犯罪 ， 动 机 也 不 是 迅速 赚钱 ,那么 攻击 的 理由 和 攻击 者 本 身 就 会 




















1.1 网络 钓鱼 基础 | 3 











变 得 非常 可 怕 。 有 些 人 出 于 政治 目的 或 者 个 人 信仰 而 让 大 型 组 织 难 堪 。 举 个 例子 ， 最 
近 很 多 案例 中 都 提 及 了 叙利亚 电子 战 部 队 〈Syrian Electronic Army, SEA )， 他 们 的 钓 
鱼 攻 击 给 一 些 媒体 造成 了 损失 ， 包 括 美 联 社 (AP )"、 美 国有 线 电 视 新 闻 网 (CNN) ” 
和 福布斯 (Forbes ) 等。 显然， 钓鱼 攻击 也 造成 了 经 济 损失 。 举 个 例子 ， 对 美 联 社 的 





























Twitter 账号 进行 攻击 ， 


导致 美 联 社 的 道 防 斯 指数 下 跌 了 143 个 点 〈 见 图 1-1 )。 这 可 是 








不 小 的 损失 。 媒 体 本 身 的 公信 力 和 声誉 也 受到 了 影响 。 我们 可 以 为 哪个 后 果 更 严重 而 
争论 一 整 天 。 不 过 从 积极 的 方面 来 说 ， 它 确实 也 让 我 们 反思 : 社交 媒体 真 的 是 用 来 获 
取 可 信 的 爆炸 性 新 闻 的 最 佳 途径 吗 ? 
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The Associated Press @AP 15m 
Breaking: Two Explosions in the White House and Barack Obama is 
injured 
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图 1-1 美 联 社 被 黑客 攻击 后 所 发 的 消息 














往 更 深 处 说 ,让 我 们 从 公司 或 者 国家 层面 谈 谈 网 络 间谍 活动 。 这 里 我 们 讨论 的 是 商业 
秘密 、 全 球 经 济 和 国家 安全 。 在 这 一 点 上 ， 即 使 是 最 无 知 的 公民 都 清楚 后 果 。 


























我 想 说 ， 网 络 钓鱼 其 实 与 每 个 人 都 息息相关 ， 而 不 仅仅 是 与 安全 人 员 相 关 。 你 可 能 不 

















会 每 天 都 思考 网 络 间谍 的 问题 ， 但 是 你 肯定 关心 自己 的 银行 账户 和 信用 卡 积分 。 我 的 
亲 仍 然 没有 搞 清 楚 如 何在 她 的 电话 上 查看 语音 邮箱 ( 真 事 )， 但 她 的 确 知道 不 应 该 
打开 来 自 陌生 人 的 电子 邮件 。 你 的 母亲 也 应 该 遵循 这 条 规则 。 



































你 现在 知道 什么 是 网 络 钓鱼 、 是 谁 发 动 的 钓鱼 攻击 以 及 他 们 为 什么 要 发 动 钓鱼 攻击 











® Geoffrey Ingersoll, “Inside the Clever Hack That Fooled the AP and Caused the DOW to Drop 150 Points,” 
November 22, 2013, http://www.businessinsider.com/inside-the-ingenioushack-that-fooled-the-ap-and- 
caused-the-dow-to-drop-150-points-2013-11. 

(2) Tim Wilson, *Report: Phishing Attacks Enabled SEA to Crack CNSS's Social Media," January 1, 2014, 
http://www.darkreading.com/attacks-breaches/report-phishing-attacks-enabled-seato-crack-cnns-social-media/ 


d/d-id/1141215?. 


@® Andy Greenberg, “How the Syrian Electronic Army Hacked Us: A Detailed Timeline,” February 20, 2014, 
http://www. forbes.com/sites/andygreenberg/2014/02/20/how-the-syrian-electronic-army-hacked-us-a- 


detailed-timeline/. 
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了 。 接 下 来 看 看 他 们 是 怎样 进行 网 络 钓鱼 攻击 的 吧 。 


1.2 ”人 们 是 如 何 进行 网 络 钓鱼 的 


如 果 发 件 人 一 栏 中 写 的 是 “把 你 的 钱 给 我 ”这 样 的 信息 ,那么 辨别 一 封 可 疑 的 电子 邮 
件 就 会 变 得 很 容易 。 骗 子 使 用 的 最 简单 的 诈骗 手段 之 一 就 是 邮件 诈骗 ， 指 将 发 件 人 一 
栏 信息 伪造 为 你 认识 的 人 或 者 其 他 合理 来 源 C 比如 电信 公司 )。 在 第 4 章 中 ,我 和 克 
里 斯 概括 了 一 些 简单 的 步骤 来 帮助 你 识别 发 件 人 是 否 合法 。 同 时 这 也 能 让 你 意识 到 ， 
邮件 来 自 你 认识 的 人 并 不 代表 邮件 就 是 安全 的 。 
















































































骗子 为 他 们 的 故事 增加 可 信 度 的 另 一 种 方法 是 网 站 克隆 。 具 体 说 来 ,骗子 对 合法 网 站 
进行 克隆 以 欺骗 你 输入 个 人 可 识别 信息 (personally identifiable information，PII ) 或 登 
录 和 凭据 。 这 些 虚 假 网 站 也 可 以 用 来 直接 攻击 你 的 电脑 。 克 里 斯 亲身 经 历 的 一 个 例子 就 
是 假 的 亚马逊 网 站 。 从 很 多 方面 来 讲 ， 这 都 是 一 个 很 好 的 例子 。 首 先 ， 这 是 一 个 很 党 
见 的 骗局 ， 因 为 我 们 中 的 很 多 人 都 在 亚马逊 网 站 上 买 过 东西 。 我 们 多 次 看 过 该 公司 的 
网 站 和 电子 邮件 ， 以 至 于 可 能 不 会 认真 地 看 它 的 邮件 。 其 次 ， 它 伪造 得 很 好 ， 甚 至 那 
些 对 这 类 骗局 很 有 经 验 的 人 也 可 能 上 当 受 骗 。 




























































































克 里 斯 对 客户 进行 钓鱼 攻击 已 经 好 些 年 了 ( 当然 是 经 过 客户 许可 )。 他 发 送 了 数 十 万 
封 钓 鱼 邮件 ， 了 解 这 些 邮件 的 写作 方式 以 及 为 什么 有 效 。 但 是 在 去 年 ， 他 收 到 了 一 封 
电子 邮件 ， 里 面 说 他 的 亚马逊 账户 要 被 冻结 了 。 这 封 电子 邮件 碰巧 赶 上 了 我 们 准备 
DEF CON 年 度 竞 赛 的 时 间 。 克 里 斯 一 直 都 很 忙碌 , 但 在 DEF CON 召开 前 的 那个 月 里 ， 
身 处 办 公 室 的 他 基本 上 就 是 在 但 丁 笔下 的 九 层 地 狱 里 打转 。 我 不 知道 当 他 收 到 那 封 伪 
造 的 亚马逊 网 站 邮件 时 想 了 什么 或 说 了 什么 , 但 是 你 大 概 可 以 想到 这 个 故事 是 怎么 发 
FEW). Al 1-2 展示 了 他 收 到 的 那 封 电子 邮件 。 













































































仔细 阅读 这 封 邮 件 ， 你 会 注意 到 它 的 语言 水 平 并 不 达标 ， 甚 至 有 点 奇怪 ， 比 如 单词 字 
母 随机 大 写 。 这 些 特 性 是 网 络 钓鱼 的 共同 特点 ， 因 为 很 多 发 件 人 并 不 是 以 英语 为 母语 
的 。 关 键 是 ， 对 于 一 个 匆匆 一 扫 邮 件 内 容 的 人 来 说 它 的 质量 已 经 够 好 的 了 。 
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Subject: Revision to Your Amazon.com Account 





amazon.com. 


Account Status Notification 
Dear Customers, 


We are contacting you to remind you that our Review Team identified that your account has been limited. 
In accordance with Amazon User Agreement and to ensure that your account has not been accessed from 
fraudulent locations, access to your account has been limited. 


Your Online access will be BLOCKED if this issue is not resolved immediately. 
Piras logi in your account by cing on the link below to restore your account Immediately: 





Thank You for using Amazon. 


Security Advisor 
Amazon Online. 














图 1-2 臭名 昭著 的 “亚马逊 网 站 ”钓鱼 邮件 
克 里 斯 点 击 了 邮件 里 的 链接 , 然后 进入 了 一 个 看 起 来 像 是 亚马逊 网 站 的 网 页 , 如 图 1-3 
所 示 。 2 5 25 aa cea ， 因 为 它 就 是 原 网 站 的 克 
隆 版 。 











eoo Amazon.com Sign In x 





amazon Your Account | Help 
—? 
Sign In 


What is your e-mail address? 





My e-mail address is: | 


Do you have an Amazon.com password? 


O No, I am a new customer. 





© Yes, I have a password: 


Forgot your password? 





Sign In Help 
Forgot your password? Get password help. 
Has your e-mail address changed? Update it here. 


Conditions of Use Privacy Noti 
© 1996-2014, Amazon.com, Inc. or LY affiliates 








图 1-3 假 的 亚马逊 网 站 
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这 个 时 候 ， 殉 里 斯 受过 的 多 年 训练 起 作用 了 。 他 看 了 看 网 站 的 链接 (地址 )， 然 后 发 
现 这 是 一 个 非法 网 站 。 如 果 他 输入 登录 信息 , 那么 账户 里 包含 的 个 人 可 识别 信息 和 他 
的 信用 卡 信 息 就 会 被 动 持 。 这 封 邮件 差点 成 功 骗 过 克 里 斯 ， 因 为 网 站 本 身 是 原 网 站 的 
克隆 , 再 加 上 电子 邮件 发 来 时 克 里 斯 非 常 忙碌 、 疲 倦 、 注 意 力 分 散 ， 这 一 切 都 会 阻碍 
他 的 批判 性 思维 详 见 第 4 章 )。 网 站 克隆 的 确 是 一 种 非常 有 说 服 力 的 方式 ， 能 让 人 
们 相信 钓鱼 邮件 的 内 容 是 真 的 。 


最 后 说 一 种 诡计 : 骗子 会 给 刚 收 到 钓鱼 邮件 的 人 打 电 话 。 这 也 被 称 为 语音 钓鱼 
(vishing) 或 电话 钓鱼 。 语音 钓鱼 有 多 种 恶意 目的 ， 从 增加 邮件 的 真实 性 和 可 信和 度 到 
直接 请 求 保 密 信息 等 。 这 种 诡计 从 反面 强调 了 保护 个 人 可 识别 信息 的 重要 性 。 在 我 成 
长 的 年 代 ， 人 们 的 社保 号 码 和 电话 号 码 会 被 印 在 自己 的 支票 上 ， 就 在 地 址 下 方 。 这 简 
直 是 在 说 :“ 请 来 偷 我 的 身份 信息 吧 ， 罪 犯 先生 。” 想 象 一 下 ， 你 收 到 了 一 封 来 自 “ 银 
行 ”的 电子 邮件 ， 随 后 又 接 到 了 他 们 的 电话 ， 要 求 你 点 击 某 个 链接 访问 一 个 网 站 ， 然 
后 更 新 你 的 账户 信息 。 这 件 事 是 多 么 让 人 深信 不 疑 啊 。 


















































































































































最 近 发 生 了 一 起 被 称 为 Francophoning 的 企业 级 钓鱼 攻击 ， 之 所 以 这 么 称呼 是 因为 目 
标 公司 主要 在 法 国 。" 这 是 一 起 精心 策划 的 钓鱼 攻击 。 一 位 行政 助理 收 到 一 封 关于 发 
票 问题 的 邮件 ， 随 后 有 电话 打 过 来 ， 电 话 的 另 一 头 是 一 个 自称 公司 副 总 裁 的 人 ， 要 求 
她 立即 处 理 刚 刚 邮件 中 提 到 的 发 票 问 题 。 助 理 随 后 点 击 了 邮件 中 的 链接 ， 导 致 后 台 加 
载 了 一 个 恶意 软件 。 该 恶意 软件 使 得 攻击 者 可 以 控制 她 的 电脑 并 穷 取 信息 。 这 个 例子 
很 有 趣 ， 因 为 其 中 有 很 多 要 素 在 起 作用 ， 例 如 利用 权威 和 性 别 差 异 。 不 过 这 里 主要 想 
说 的 是 ， 如 果 你 从 多 个 渠道 听 到 同一 个 故事 ， 那 么 这 个 故事 就 会 听 起 来 更 加 可 信 。 




































































1.3 示例 

我 不 太 清楚 你 们 的 情况 ,但 我 和 克 里 斯 都 善于 从 例子 中 学 习 。 本 节 涵盖 了 -一些 因 钓 鱼 
攻击 而 受到 重大 损失 的 例子 ， 并 介绍 了 一 些 如 今 仍 在 使 用 的 钓鱼 手段 。 我 们 也 会 讨论 
为 什么 它们 如 此 奏效 。 



































首先 ， 有 必要 提 到 反 钓 鱼 工 作 组 CAPWG, www.apwg.org )。 我 们 可 以 用 好 几 页 来 介 








(D Symantec Official Blog,“Francophoned — A Sophisticated Social Engineering Attack,” August 28, 2013, 
http://www.symantec.com/connect/blogs/francophoned-sophisticated-socialengineering-attack. 
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绍 这 些 人 , 但 是 没有 必要 ， 你 需要 知道 的 就 是 反 钓 鱼 工作 组 是 一 个 全 球 安全 爱好 者 联 
盟 ， 他 们 对 全 球 的 钓鱼 攻击 进行 研究 、 定 义 和 报道 。 














根据 反 钓 鱼 工作 组 2014 年 8 月 的 报告 来 看 ,钓鱼 攻 击 仍旧 数量 惊人 。2014 年 第 二 季 
度 ， 消 费 者 向 反 钓鱼 工作 组 报告 了 128 378 个 不 同 的 钓鱼 站 点 和 171 801 BEI IRIS 
鱼 邮 件 。" 这 是 自 反 钓鱼 工作 组 开始 追踪 这 些 数 据 以 来 第 二 高 的 季度 报告 数值 。 交 易 
服务 和 金融 机 构 是 主要 攻击 目标 ， 占 总 体 的 60%。 同 时 也 呈现 出 了 一 个 新 趋势 : 针对 
在 线 支付 和 加 密 货 币 ( erypto-currency ) 的 攻击 有 所 增加 。 












































现在 你 已 经 总 览 了 这 些 数据 ， 是 时 候 谈 谈 其 中 的 细节 了 。 


13.1 重大 攻击 


目前 为 止 ， 塔 吉 特 公司 ( Target Corporation ) 受到 的 攻击 可 能 是 最 著名 的 案例 之 一 。 

它 影 响 了 近 1.1 亿 消 费 者 一 一 估计 大 约 有 4000 万 信用 卡 信 息 和 7000 万 个 人 可 识别 信 
AGH BIER; 你 的 个 人 数据 可 能 就 在 其 中 。 ”这 个 事件 中 一 个 有 趣 的 地 方 在 于 ， 攻 击 
者 似乎 并 非特 意 针 对 塔 吉 特 公司 。 ”这 是 一 起 攻击 升级 的 例子 。 塔 吉 特 公司 在 开始 的 
攻击 成 功 后 变 成 了 一 个 潜在 受害 者 。 在 这 个 案例 中 ,最 初 的 受害 者 是 塔 吉 特 公司 的 一 
家 暧 通 空 调 (HAVC ) 供应 商 ， 它 拥有 塔 吉 特 公司 的 网 络 证 书 。 该 供应 商 的 一 位 员工 
收 到 了 一 封 钓鱼 邮件 ， 然 后 他 点 击 了 邮件 中 会 导致 恶意 软件 加 载 的 链接 ， 恶 意 软 件 随 
后 从 承包 商 处 窃取 了 他 的 登录 信息 。 该 承包 商 的 网 络 和 塔 吉 特 公司 的 网 络 相连 ， 用 于 
账单 和 合同 的 递交 等 。 现 在 还 不 清楚 所 有 的 攻击 细节 , 但 是 攻击 者 最 后 进入 了 塔 吉 特 
公司 的 服务 器 ， 并 攻陷 了 交易 系统 。 































































































虽然 对 消费 者 造成 的 最 终 损失 仍 有 等 评估 , 但 是 塔 吉 特 公司 已 经 花费 了 2 亿 多 美元 以 
重印 被 盗 取 的 信用 卡 一 一 这 还 没有 考虑 日 后 可 能 发 生 的 欺诈 行为 。 总 之 , 对 于 帮助 人 
们 意识 到 钓鱼 攻击 的 危险 性 来 说 ， 这 是 生动 而 昂贵 的 一 课 。 





























(D Anti-Phishing Working Group, “Phishing Activity Trends Report, 2nd Quarter 2014," August 29, 
2014,http://docs.apwg.org/reports/apwg trends report q2 2014.pdf. 

@ Michael Riley, “Missed Alarms and 40 Million Stolen Credit Card Numbers: How Target Blew It,” March 
13, 2014, http://www.businessweek.com/articles/2014-03- 1 3/target-missed-alarms-in-epic-hack-of-credit- 
card-data#p1. 

@) Brian Krebs, “Email Attack on Vendor Set Up Breach at Target,” February 12, 2014, http://krebsonsecurity. 
com/2014/02/email-attack-on-vendor-set-up-breach-at-target/. 
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另 一 起 值得 注意 的 攻击 是 关于 RSA 公 司 的 ,你 可 能 都 不 记得 那 件 事 了 。 现 在 提起 RSA， 
人 们 首先 想起 的 是 始 于 2013 年 年 底 的 与 国家 安全 局 有 关 的 加 密 算法 的 事情 。 此 事 的 
影响 远 超过 2011 年 RSA 公司 经 历 的 攻击 事件 。 "不 同 于 塔 吉 特 公司 遭受 的 偶然 性 攻 
i, RSA 公司 所 经 历 的 看 起 来 是 一 起 针对 RSA 员工 发 动 的 攻击 。 显 然 , 一 封 发 给 RSA 
低层 员工 的 电子 邮件 中 包含 的 恶意 Excel 附件 导致 了 这 一 切 〈( 见 图 1-4 )。 
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图 1-4 RSA 公司 经 历 的 钓鱼 攻击 


RSA 公司 的 垃圾 邮件 过 滤 系 统 发 现 了 这 封 邮件 , 并 把 它 放 进 了 用 户 的 垃圾 邮件 文件 夹 
内 。 令 人 感 兴趣 的 地 方 就 在 这 里 : 总 有 人 要 摆脱 原本 设计 好 的 技术 控制 ， 做 出 一 些 不 
该 做 的 事 。 至 少 有 一 位 员工 打开 了 那 封 邮件 ,并 且 点 击 了 附件 。 这 给 了 攻击 者 进入 内 
部 网 络 的 机 会 ， 也 最 终 使 得 他 们 有 机 会 窃取 RSA 公司 的 一 些 产 品 信息 。 有 报道 称 事 
件 发 生 后 的 一 个 季度 内 , RSA 的 母 公司 EMC 花费 了 6600 万 美元 进行 善后 工作 , 包括 
业务 监控 和 密 钥 更 换 。 




















(D Aviva Litan, “RSA SecurID Attack Details Unveiled—Lessons Learned,” April 1, 2011, http://blogs.gartner. 
com/avivahlitan/2011/04/01/rsa-securid-attack-details-unveiledthey-should-have-known-better/. 
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男 一 起 基于 产品 的 攻击 也 值得 注意 ， 那 就 是 2009 年 可 口 可 乐 公 司 遭 受 的 攻击 。 这 是 
一 次 非常 有 针对 性 的 鱼 又 式 钓鱼 攻击 ,攻击 目标 直 指 可 口 可 乐 公 司 高 管 。 高 管 收 到 的 
邮件 标题 是 “省 电 就 是 省 钱 ! ( 来自 CEO 》。 这 封 电子 邮件 的 标题 显然 很 烂 ， 但 是 还 
需要 考虑 一 些 因 素 。 首先 , 这 封 邮件 似乎 来 自 于 可 口 可 乐 公司 法 律 部 门 的 高 管 ; 其 次 ， 
在 受到 攻击 时 ,可口可乐 公司 恰好 在 推广 节能 运动 (这 证 明 攻 击 者 事先 做 足 了 功课 )。 
高 管 打开 了 邮件 ， 然 后 点 击 了 链接 。 这 个 链接 看 起 来 应 该 指向 关于 节能 项 目的 更 多 信 
息 ， 但 实际 上 指向 了 一 个 恶意 网 站 。 网 站 后 台 加 载 了 一 系列 的 恶意 程序 ,包括 键盘 记 
录 等 。 这 使 得 攻击 者 获得 了 企业 内 部 网 络 和 数据 的 访问 权限 ， 直 到 几 周 后 才 被 发 现 。 
















































































这 一 攻击 发 生 在 2009 年 2 月 , 在 3 月 接 到 FBI (联邦 调查 局 ) 的 通知 前 ， 可 口 可 乐 公 
司 并 没有 意识 到 有 大 量 的 敏感 数据 被 盗 。 当 时 可 口 可 乐 公司 正 试图 用 24 亿美 元 收购 
一 家 软饮料 制造 商 ， 而 收购 最 后 失败 了 。 失 败 的 原因 众说 纷 终 ， 但 至 少 有 一 家 安全 组 
声称 ， 是 由 于 谈判 策略 和 收购 价格 等 关键 信息 泄露 给 了 对 方才 导致 了 谈判 的 失败 。 
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正如 之 前 提 到 的 , 对 美 联 社 的 黑客 攻击 之 所 以 令 人 印象 深刻 , 是 因为 一 条 Twitter 消息 
就 对 股票 市 场 产 生 了 巨大 的 影响 。 ”黑客 只 是 通过 简单 的 鱼 叉 式 钓 鱼 攻击 ， 让 美 联 社 
的 员工 误 以 为 邮件 是 同事 发 来 的 ( 如 图 1-5 所 示 )。 






































尽管 这 封 邮件 含糊 其 辞 ， 但 它 来 自 “已 知 ” 的 来 源 ， 而 且 似 乎 指向 了 《华盛顿 邮 报 》 
网 站 上 的 一 个 合法 的 页 面 。 实际 上 受害 者 点 击 的 链接 指向 了 一 个 仿冒 网 站 ,这 个 网 站 
是 用 来 收集 他 们 的 登录 信息 的 。 该 仿冒 网 站 允许 用 户 使 用 他 们 的 Twitter 账户 进行 授权 
登录 ， 这 就 导致 了 后 面 的 Twitter 账户 被 盗 。 




















显然 ,无 论 采 取 怎 样 的 技术 控制 和 安全 策略 ， 公 司 仍然 和 普通 人 一 样 容易 受到 网 络 钓 
鱼 攻击 。 那么 普通 人 会 遇 到 的 钓鱼 攻击 的 例子 是 怎样 的 呢 ? 下 面 一 节 将 会 介绍 一 些 你 
可 能 已 经 见 过 的 常见 例子 。 









































(D Nicole Perlroth, “Study May Offer Insight into Coca-Cola Breach,” November 30, 2012, http://bits.blogs. 
nytimes.com/2012/11/30/study-may-offer-insight-into-coca-cola-breach/. 

(2 Sarah Perez, *AP Twitter Hack Preceded by a Phishing Attempt, News Org Says," April 23, 2013, 
http://techcrunch.com/2013/04/23/ap-twitter-hack-preceded-by-a-phishingattempt-news-org-says/. 











10 | 第 1 真实 世界 的 钓鱼 攻击 

















Sent: Tue 4/23/2013 12:12 PM 
From: [An AP staffer] 


Subject: News 

Hello, 

Please read the following article, it’s very important : 
http://www.washingtonpost.com/blogs/worldviews/wp/2013/04/23/ 
[A different AP staffer] 

Associated Press 


San Diego 


mobile [removed] 














图 1-5 美 联 社 受到 的 鱼 又 式 钓 鱼 攻击 





1.3.2 ”常见 的 钓鱼 手段 


如 果 不 首先 介绍 “尼日利亚 419” 骗 局 ， 那 么 我 们 关于 网 络 钓鱼 这 一 主题 的 讨论 注定 
会 留 下 遗憾 。 这 一 骗局 也 称 为 预付 款 骗 局 ， 实 际 上 它 的 历史 已 经 有 200 多 年 了 (可 以 
想象 ， 在 平邮 信 的 时 代 ， 这 种 骗局 需要 花 很 长 的 时 间 才 能 生效 , 但 是 它 仍旧 生效 了 )。 
它 现在 之 所 以 被 称 为 “尼日利亚 骗局 ”是 因为 这 种 骗局 很 多 都 来 源 于 尼日利亚 ， 数 字 
419 指 的 是 尼日利亚 刑法 中 的 坎 诈 类 犯罪 的 编号 。 















































你 可 能 已 经 见 过 这 类 骗局 。 例 如 ,一 位 富有 的 王子 声称 自己 被 废 是 了 ， 需 要 你 帮助 他 
转移 他 的 大 笔 财富 ; 或 者 一 个 快要 死去 的 人 后 悔 自己 以 前 音 冀 , 需要 你 帮助 他 把 财产 
捐 给 慈善 机 构 。 无 论 故事 情节 如 何 ， 这 类 骗局 有 儿 个 不 变 的 基本 特征 。 








口 金钱 的 数额 巨大 。 
口 他 们 相信 你 ， 一 个 对 他 们 而 言 完全 陌生 的 人 ， 让 你 去 转账 、 付 款 或 者 持 有 这 笔 钱 。 
Q 你 会 获得 一 定 的 报酬 ， 但 你 需要 做 下 面 这 些 事 : 








m 为 他 们 提供 你 的 银行 账户 信息 以 便 他 们 给 你 转账 ; 
m 协助 他 们 付 转账 费用 , 主要 是 由 于 不 稳定 的 政治 局 势 或 个 人 原因 而 导致 他 们 无 法 
自己 支付 转账 费用 。 
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1-6 展示 了 一 个 真实 的 例子 ， 这 是 我 最 近 收 到 的 一 封 邮件 。 这 封 邮件 来 自 加 纳 而 非 
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严 ， 但 是 你 懂得 意思 就 好 。 








May 5, 2014 2:57 PM 
To: johnson.adiyah@yahoo.com 
Opportunity 


From: Mr. Johnson Adiyah 
Director of Projects 

Department of Minerals & Energy 
Ghana 


Hello, 

| write to ask for your indulgence in re-profiling funds up to the tune of Eight Million Five Hundred Thousand United 
States Dollars (US$8.5 Million) which | will want to keep safely overseas under your supervision. In other words, | 
would like you to receive the said funds my our behalf. The Funds were derived over time from a project awarded to 
a foreign firm by my Department, and presently the actual contract cost have been paid to the original project 
executors, leaving the balance in the tune of the said amount which we have in principle obtained approval to remit 
Overseas. 


Kindly pardon the use of a medium informal as this for reaching out to you to make a request of such a great 
importance. Currently, | work as the Director of Projects at the Department of Minerals & Energy here in Ghana. 


This endeavor has a minimal risk factor on your part provided you treat it with the utmost discretion. You are advised 
to reach me through email for further clarifications. 


Email: johnson.adiyah yahoo.com 
I kindly wait to hear from you. 
Yours sincerely, 


Mr. Johnson Adiyah 








图 1-6 KEBUCRUCRIBUJE HAINE 419 网 络 钓鱼 邮件 




















洲 王室 的 正当 请 求 呢 ? 






















































































的 驴 局 ,那么 究竟 是 什么 让 我 确定 这 并 不 是 来 自 非 


口 我 并 不 认识 任何 非洲 皇室 的 人 , 或 者 任何 来 自 加 纳 矿业 和 能 源 部 门 的 人 , 我 甚至 连 
任何 叫 约翰 逊 . 艾 迪 约 亚 ( Johnson Adiyah ) 的 人 都 不 认识 。 
口 Ayah + 艾 迪 约 亚 也 没 理由 认识 我 ， 这 是 很 显然 的 ， 因 为 他 在 邮件 开头 没 提 我 的 名 
字 。 这 么 大 的 一 笔 交 易 ， 他 居然 连 对 方 的 名 字 都 不 知道 ? 

口 虽然 我 明白 有 些 事 会 自然 发 生 ， 但 是 这 个 请 求实 在 是 太 突然 了 。 
a 他 们 实在 太 信任 我 了 ( 比 起 一 家 银行 、 一 位 熟人 ， 甚 至 一 家 法 律 事务 所 )， 让 我 一 


个 陌生 人 处 理 850 万 美元 。 虽然 我 认为 自己 的 确 是 一 个 值得 信任 的 人 , 但 是 你 知道 
用 850 万 美元 我 可 以 买 多 少 蟹 肉 人 饼 吗 ? 


口 最 后 ,尽管 我 相信 发 送 者 使 用 了 拼写 检查 , 但 是 他 的 英语 很 奇怪 ,似乎 英语 六 
的 母语 。 假 如 我 真 的 在 加 纳 认 识 一 位 约翰 还 ， SOA 


























不 是 他 


上 的话， 这 一 点 当然 不 成 问题 。 
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尼日利亚 419 骗局 只 是 一 个 人 门 级 别 的 骗局 ， 很 容易 辨别 。 你 可 能 会 想 ， 既 然 如 此 ， 
为 什么 200 年 后 这 个 骗局 仍然 存在 而 且 依 旧 会 有 人 上 当 受 骗 呢 ? 可 能 你 自己 也 收 到 过 
这 类 邮件 ， 那 么 为 什么 它 仍然 有 效 呢 ? 























O 贪 禁 。 这 是 第 一 原因 ,也 是 最 基本 的 原因 。 大 多 数 人 永远 不 会 有 机 会 见 到 像 419 £4] 
鱼 骗局 中 那么 多 的 钱 ,这 一 点 会 让 很 多 人 思维 短路 。 这 个 故事 有 可 能 是 真 的 ， 对 不 
Xj? 其 实 不 是 这 样 。 但 如 果 你 可 以 说 服 自己 总 有 一 天 会 中 彩票 的 话 , 那么 进一步 说 
服 自己 真 会 有 陌生 人 让 你 拿 着 他 的 钱 ， 可 能 也 不 是 那么 困难 。 

O 缺乏 教育 。 在 本 书后 面 的 部 分 , 我 们 将 会 从 不 同 的 方面 来 谈 这 个 因素 。 有 很 多 人 ( 直 
到 现在 , 包括 我 母亲 ) 对 于 有 人 想 通 过 电子 邮件 窃取 他 们 的 身份 信息 或 钱财 这 一 点 
一 无 所 知 。 

O 过 于 轻信 。 这 个 世界 上 有 人 完全 信任 其 他 人 。 如 果 说 我 们 生活 在 一 个 轻信 他 人 并 不 
会 给 自己 带 来 危险 的 世界 ， 那 真是 太 棒 了 。 



















































































除了 为 你 提供 巨额 财富 以 外 ,坏人 还 喜欢 使 用 一 些 常见 的 主题 。 有 的 主题 至 少 能 让 你 
停 下 来 怀疑 它 的 真实 性 。 








1. 金融 类 主题 








金融 类 主题 是 钓鱼 攻击 者 的 最 爱 。 我 们 大 部 分 人 都 会 把 钱 存 起 来 、 转 账 、 交 税 ， 因 此 
当 收 到 一 封 来 自 金融 机 构 的 通知 时 ， 人 们 通常 是 会 打开 邮件 的 。 钓 鱼 攻击 的 方式 无 穷 
无 尽 ， 他 们 通常 要 求 你 在 线 提交 账户 信息 细节 以 验证 你 的 身份 。 最 常见 的 金融 钓鱼 攻 
击 包 括 下 面 这 些 类 型 。 


















































口 账户 有 异常 的 登录 请 求 。 
O 银行 升级 了 在 线 安 全 措施 。 
口 未 按时 还 贷 或 者 纳税 。 














图 1-7 到 图 1-10 展示 了 一 些 例 子 。 这 些 钓 鱼 攻击 大 部 分 都 比 尼 日 利 亚 骗局 要 复杂 和 完 
善 ,它们 可 能 包括 了 商标 和 图 片 ， 看 起 来 更 正规 一 些 。 我 们 把 这 些 骗局 归 类 为 中 级 钓 
鱼 骗局 。 
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Subject: Wells Fargo Online Fraud Prevention. 
From: "Wells Fargo Online"=wellsfargo@wellsconnect.wellsfargo.com= 





WELLS 
FARGO 


Dear Wells Fargo Online?" Customer: 

Wells Fargo's Internet Services Group Fraud Operations would like to verify some 
recent activity an your account. To help protect your 

Wells Fargo account(s) from unauthorized access, we have restricted your online 
access, which will remain in effect until you re-activate. 

To re-activate your account, log on to www. wellsfargo.com 

If you aren't enrolled in Online and think you've received this message in error, please 
call our Customer Support team immediately, using 


the phone number on the "Contact Us" page on Wells Fargo Online. 


Note : Make Sure Your Fill Out All The Informations Requested For Your Personal 
Security Reason. 


Sincerely, 


JOSHUA RAMSEY 
ISG Fraud Operations 














图 1-7 伪装 成 美 


Need additional 











富国 银行 (Wells Fargo ) 邮件 的 钓鱼 邮件 














uptothe minute Dear Esteemed Customer : 
account We recently have determined that different computers have logged in your Bank of 
information? America Online Banking account, and multiple password failures were present before 





Sign In » the logons. We now need you to re-confirm your account information to us. If this is 
not completed by June 2, 2010, we will be forced to suspend your account 
indefinitely, as it may have been used for fraudulent purposes. We thank you for your 
cooperation in this manner. In order to confirm your Online Bank records, we may 
require some specific information from you. 








To restore your account, please Click Here. 


Bankof America. 


> 


Thank you for using Bank Of America Online Service. 










and your pas 
ur credit card d 


) then you have to complete our 
nd your billing information as w 





have their billing information unconfirmed, meaning that you may no longer send 





















ber FDIC. Equal Housing Lenderf=? 8 A 
oration. All rights reserved ‘fea! Spansor 2004.2008 


#0010 Bank of America 
US. Oymple Teams 


























图 1-8 伪装 成 美国 银行 (Bank of America ) 邮件 的 钓鱼 邮件 
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intuit. 


TurboTax V 





Your Tax Refund Didn't went through! 


Dear Taxpayer, 


TurboTax , could not complete your IRS Tax refund file, You are to login and follow 
instructions on filling your tax refund, then we'll look for ways to get you back every dollar you 
deserve, if you don't have an account you can create an account with us for free! 


To login and file for 2013 tax refund . Start Filling Here We'll guilde you through step after 
step to get you every dollar you deserve.. 


Your biggest tax refund is guaranteed. 


Our goal is to get baci 





. You should complete your return when it's convenient for you. 


If you have any questions, TurboTax is here for you, with answers every step of the way, so you 
can be confident your taxes are done right! 





Sign in to Tu 


Questions? Please don't reply to this email. It was automatically generated. Instead, head over to our customer support site. (We 
have real live people working there.) 








You have received this business communication as part of our efforts to fulfill your request or service your account. You may 
receive this and other business communications from us even if you have opted out of marketing messages. 


© 1997-2013 Intuit Inc. All rights reserved. Intuit, the Intuit logo, QuickBooks, Quicken, and TurboTax, among others, are registered 
trademarks of Intuit Inc. 


图 1-9 伪装 成 要 求 申报 纳税 邮件 的 钓鱼 邮件 
PayPal 














Dear Paypal valued member, 


Due to concems, for the safety and integrity of the paypal 
account we have issued this waming message. 


It has come to our attention that your account information needs 

to be updated due to inactive members, frauds and spoof reports. 

If you could please take 5-10 minutes out of your online experience and renew 
your records you will not run into any future problems with the online service. 
However, failure to update your records will result in account suspension 

This notification expires on 48. 


Once you have updated your account records your paypal account 
service will not be interrupted and will continue as normal. 


Please follow the link below and login to your account 
and renew your account information 


https ://www, ,com/cai-bin^ cr?cmds login-run 


Sincerely, 


http://66.160.154.156, h l, 
Paypal customer depart EU ud para ogi parnai, 











图 1-10 ”伪装 成 贝 宝 公 司 (Paypal) 邮件 的 钓鱼 邮件 
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管 这 些 钓 鱼 骗局 手段 更 高 明 ， 但 是 仍然 有 一 些 蛛 丝 马 迹 可 以 让 人 判断 它们 是 假 的 。 





4 
sur 
cr 














口 问候 语 通 党 是 模糊 的 ， 难 道 银行 不 知道 客户 的 名 字 吗 ? “尊贵 的 客户 ”不 算 。 

口 拼写 、 语 法 和 大 写字 母 方面 的 问题 , 尽管 比 之 前 的 好 , 但 是 仍然 有 一 些 奇怪 的 地 方 。 
口 用 于 验证 的 链接 指向 的 网 址 并 不 属于 所 谓 的 发 件 人 。 

口 使 用 紧迫 的 语气 ( “请 立即 回复 ， 和 否则 您 的 账户 将 被 冻结 ”)。 









































的 方法 。 





O 利用 权威 。 这 是 一 条 影响 原则 ,第 3 章 会 详细 谈 到 。 人 基本 上 是 社会 动物 ， 我 们 都 
会 对 不 同形 式 的 权威 做 出 反应 。 

O 时 间 限 制 。 邮 件 中 说 你 的 账户 会 在 48 小 时 后 销 户 ! 这 种 话 的 确 增 加 了 紧张 感 。 出 
于 我 们 的 生存 本 能 ， 任 何 对 获取 资源 的 限制 都 会 让 我 们 感受 到 威胁 。 

O 可 能 的 危害 。 想 到 你 的 银行 账户 被 检测 到 异常 行为 , 可 能 是 某 些 不 法 分 子 正在 试探 
你 的 账户 , 这 一 点 确实 让 人 害怕 。 毕 竞 唯 一 应 该 在 我 金币 附近 徘徊 的 人 是 我 一 也 
n ee S af E, 




































































2. 社交 媒体 威胁 


男 外 一 个 你 可 能 见 过 的 常见 主题 是 通过 社交 媒体 进行 的 网 络 钓鱼 。 社 交 媒 体 的 核心 当 
然 就 是 交际 , 因此 如 果 你 使 用 的 社交 媒体 服务 用 邮件 通知 你 有 新 的 好 友 请 求 或 者 要 求 
你 点 击 某 个 链接 ,那么 你 通常 不 会 怀疑 。 一 般 而 言 ， 这 类 邮件 和 金融 类 邮件 的 难度 等 
级 差不多 ， 也 可 以 通过 相同 的 细节 来 进行 识别 。 然 而 在 我 看 来 ， 这 类 邮件 反而 更 容易 
让 你 中 招 ， 因 为 你 既然 加 入 了 社交 媒体 ， 那 么 收 到 一 些 邀 请 就 是 很 正常 的 ， 更 重要 的 
FE, 也 是 你 期 盼 的 。 另外， 这 类 邮件 可 能 不 会 像 银 行 邮件 那样 引起 你 的 警觉 ， 这 会 降 
低 你 的 防范 意识 。 
































和 金融 服务 钓鱼 一 样 ,这 类 邮件 有 时 候 也 会 利用 怒 惧 来 驱使 某 类 行为 ,如 图 1-11 所 示 。 
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E Subject: GooglePartnerService sent you a message: The Youtube Team 


恐惧 是 普 


O^ PA AE 


遍 的 行为 激发 因素 ,但 是 失去 社交 媒体 账号 不 只 是 紧要 的 事件 ， 而 


From: ¥ vi vi 
Date: 12:19 AM 





I) Broadcast 
YOu Qi) i 
GooglePartnerService has sent you a message: 


The Youtube Team 


The Youtube Team 
YouTube Broadcast Yourself™ 


^ro NN 


According to our records, you have been flagged for the following: 


Hate Speech/Bullying 

SpamFlooding of other YouTube channels 
Massive Advertising 

Explicit Copyright Infringement 


Your account also appears to be phished and/or flagged by other users with the following IP addresses: 


7255.191.6:3128 
80.227 .1.100:8080 
119.70 40.101:8080 
216.194.70.3:8118 
61.166.68 69:80 
194 44.170.81:3128 


We have reviewed your account and notice that your account seems to be in good standing. Therefore, wel 
reports made to your account, and notice that your account has been flagged and/or reported multiple time| 


owner of this account and to verify your current account status. Please prov... more 


You can reply to this message by visiting your inbox. 


图 1-11 伪装 成 YouTube 邮件 的 钓鱼 邮件 





























且 很 不 方 


便 (对 大 多 数 人 来 说 )。 然 而 ， 社 交 媒 体 鼓 励 用 户 参 与 和 相互 联系 ， 所 以 也 给 了 攻击 


者 其 他 的 可 乘 之 机 。j 


这 些 攻击 也 依赖 于 人 们 的 责任 感 。 社 交 媒 体 网 站 通过 人 们 的 相互 


联系 而 发 展 壮 大 ,它们 让 参与 社交 变 得 有 趣 ， 让 你 成 为 某 个 小 组 的 一 员 。 钓鱼 攻击 者 


也 使 用 相同 的 把 戏 。 很 多 人 点 击 链接 是 因为 他 们 不 想 因 为 拒绝 他 人 的 好 友 请 求 而 伤害 


他 们 的 感情 














,或 者 他 们 不 想 因为 不 回应 而 显得 粗鲁 一 一 即使 是 对 他 们 不 认识 的 人 ( 见 
图 1-12 和 图 1-13 )。 
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HER wants to be friends on Facebook. 
Facebook <notification+qktox4c9@facebookmail.com> 


@ If there are problems with how this message is displayed, click here to view it in a web browser, 
Sent 
To 


ook 





fa 


| «=: to be friends with you on Facebook. 
Bran ES 


Confirm Friend Request See All Requests 




























The m was 
have your email addre 
Alto, CA 94303 


aw ou don't want to receive thes 
couse ene suggestions, you can unsubscribe 











图 1-12 ”伪装 成 Facebook 邮件 的 钓鱼 邮件 














From LinkedIn (59 Reply | [i Forward | (m Archive | | Q Jurk] | 3€ Delete | 





Subject LinkedIn Information service message 11:59 4M 


To Mer Other Actions + 


LinkedIn e 
REMINDERS Linked m. 


Invitation reminders: 








Erom ( Your employee) 


PENDING EVENTS 
There are a total of 3 notes awaiting your response. Visit your InBox 
by clicking here. 


Don't wish to obtain email information? Change your auto-informers 
settings. 




















图 1-13 ”伪装 成 LinkedIn 邮件 的 钓鱼 邮件 
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说 明 小 时 候 ， 我 也 有 某 种 虚拟 的 关系 ， 那 就 是 我 的 女 笔友 。 我 清楚 地 记得 ， 那 时 
候 虚 拟 关 系 的 建立 不 像 今天 这 样 迅 速 直 接 。 社 交 媒 体 对 我 来 说 依旧 是 一 个 有 
趣 的 东西 。 它 为 人 们 提供 了 一 种 简单 快速 的 结交 朋友 的 方式 ， 不 再 局 限于 传 
统 的 社交 圈 和 职场 圈 。 不 幸 的 是 ， 这 也 导致 了 那些 愿意 结交 朋友 和 扩大 社交 
网 络 的 人 特别 容易 受到 钓鱼 攻击 。 从 这 一 点 来 说 ， 做 个 “与 世 隔 绝 ” 的 人 要 
安全 得 多 。 就 在 此 刻 ,我 的 账户 里 大 约 有 34 个 邀请 ( 并非 钓 鱼 ) 等 待 我 处 理 。 
也 许 我 应 该 尽快 处 理 它们 ， 否 则 人 们 可 能 会 认为 我 不 需要 朋友 。 


3. 公共 事件 诈骗 























攻击 , 例如 自然 灾害 、 飞 机 附 毁 或 者 铠 怖 袭击 一 一 基本 上 任何 受到 大 量 媒体 关 注 
事情 ， 同 时 也 是 大 多 数 人 重点 关注 的 事情 。 他 们 利用 了 我 们 自然 产生 的 恕 惧 、 好 奇 
。 用 挑剔 的 眼光 来 看 ， 这 些 攻 击 大 都 处 于 中 级 水 平 。 它 们 包含 了 明显 的 非法 标 
志 。 尽 管 如 此 ， 有 些 人 很 容易 成 为 这 类 钓鱼 攻击 的 受害 者 ， 因 为 他 们 仅 赁 情绪 反应 来 
处 理 这 些 事件 。 怎 样 让 人 们 不 经 大 脑 就 做 出 决定 ? 激 起 强烈 的 情绪 。 第 2 章 会 讨论 这 
PRUE “AS ER” (amygdala hijacking ) 的 有 趣 现象 。 


最 后 一 类 你 可 能 见 过 的 钓鱼 欺诈 真是 令 人 发 指 。 骗子 在 一 起 公共 事件 发 生 后 直接 进行 
鱼 

















在 塔 吉 特 公司 宣布 其 系统 漏洞 后 的 24 小 时 内 ， 骗 子 就 开始 利用 人 们 对 于 个 人 身份 信 
息 和 财务 状况 的 担忧 心理 。 在 已 知 的 至 少 12 种 欺诈 方法 中 ， 有 一 种 是 给 塔 吉 特 公司 
的 顾客 发 邮件 解释 这 件 事 ， 然 后 表示 可 以 提供 免费 的 信用 卡 监控 服务 。" 这 种 钓鱼 攻 
击 对 任何 人 来 说 都 很 难 识别 ,因为 这 封 邮 件 就 是 塔 吉 特 公司 邮件 的 克隆 版 ,如 图 1-14 
所 示 。 你 可 能 不 得 不 检查 发 件 人 的 邮件 地 址 或 者 邮件 中 的 链接 来 辨别 真 假 。 另 外 一 点 
使 得 这 封 邮件 非常 具有 坎 骗 性 : 真正 的 塔 吉 特 公司 邮件 的 发 送 者 是 TargetNew @target. 
bfi0.com， 这 个 地 址 无 论 是 谁 都 会 觉得 可 疑 。 在 迷惑 和 和 恐惧 的 影响 下 ， 塔 吉 特 公司 漏 


洞 事件 确实 被 坏人 滥用 了 。 



























































显然 有 塔 吉 特 账户 的 人 最 容易 受到 这 类 欺诈。 塔 吉 特 公司 是 一 家 规模 庞大 的 零售 商 ， 
它 的 漏洞 足以 让 每 个 人 紧张 不 已 。 难 道 有 人 从 未 在 塔 吉 特 买 过 东西 吗 ? 





(D Casey Hill, “Email ‘from Target’ to Customers Is a Phishing Scam," December 20, 2013, http://www.market- 
watch.com/story/scammers-pounce-on-target-fiasco-20 13-12-20. 
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Dear Target Guest, 


As you may have heard or read, Target learned in mid-December that criminals forced their way into our 
systems and took guest information, including debit and credit card data. Late last week, as part of our 
ongoing investigation, we learned that additional information, including name, mailing address, phone 
number or email address, was also taken. | am writing to make you aware that your name, mailing address, 
phone number or email address may have been taken during the intrusion. 


| am truly sorry this incident occurred and sincerely regret any inconvenience it may cause you. Because we 
value you as a guest and your trust is importantto us, Target is offering one year of free credit monitoring to all 
Target guests who shopped in U.S. stores, through Experian's& ProtectMylD& product which includes identity 
theft insurance where available. To receive your unique activation code for this service, please go to 
creditmonitoring target.com and register before April 23, 2014. Activation codes must be redeemed by April 
30, 2014. 


In addition, to guard against possible scams, always be cautious about sharing personal information, such as 
Social Security numbers, passwords, user IDs and financial account information. Here are some tips that will 
help protect you: 


se Never share information with anyone over the phone, email or text, even if they claim to be someone 
you know or do business with. Instead, ask for a call-back number. 

e Delete texts immediately from numbers or names you don't recognize. 

es Be wary of emails that ask for money or send you to suspicious websites. Don't click links within 
emails you don't recognize. 


Target's email communication regarding this incident will never ask you to provide personal or sensitive 
information. 


Thank you for your patience and loyalty to Target. You can find additional information and FAQs about this 
incident at our Target.com/databreach website. If you have further questions, you may call us at 866-852- 
8680. 





Gregg Steinhafel 


Pu e _ 


Chairman, President and CEO 





图 1-14 是 真 的 邮件 还 是 钓鱼 邮件 











TRI E HUI 





在 这 里 谈 这 些 并 不 是 为 了 评判 这 件 事 ， 而 是 想 要 通过 这 件 事 来 给 大 家 提 个 








醒 。 这 种 公共 事件 欺诈 的 灾后 变 体 无 颖 是 非常 可 怕 的 。 这 些 钩 鱼 邮件 并 没有 进行 恐吓 





《这样 已 经 很 坏 了 )， 而 是 利用 了 你 和 其 他 人 的 关系 。 在 波士顿 马拉松 爆炸 案 发 生 后 的 


几 小 时 内 ， 


骗子 就 开始 行动 了 。 "很 多 钓鱼 邮件 只 是 简单 地 提供 了 一 个 似乎 是 指向 爆 





炸 视频 的 链接 。 它 们 利用 人 们 天 生 的 好 奇 心 ， 而 这 些 链 接 实 际 指 向 了 一 些 会 下 载 恶意 
软件 的 网 站 。 此 类 钓鱼 攻击 的 变种 之 一 如 图 1-15 所 示 ， 是 一 封 伪造 的 来 自 CNN 的 邮 
件 ， 它 利用 了 人 们 对 权威 的 盲从 和 天 生 的 好 奇 心 。 











(D Jovi Umawing, “Fake CNN Spam Use Boston Marathon Bombing as Lure,” April 18, 2013, http://www. 
threattracksecurity.com/it-blog/fake-cnn-spam-use-boston-marathon-bombing-as-lure/. 
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TERNATIONAL Gr EMAILTHIS 
om Powered by limelight 
* Please note, the sender's email address has not been verified 


‘You have received the following link from BreakingNews@mail cnn. com: 





Click the following to access the sent link: 


€ Boston Marathon Explosions - Obama Benefits? - CHN.com™ 





Save This Link ] ( Forward This Link | 


Get your EMAIL THIS Browser Button and use it to email content from 
any Web site. Click here for more information. 


*This article can also be accessed if you copy and paste the entire address 
below into your web browser. 


by clicking here 








图 1-15 波士顿 马拉松 钓鱼 邮件 的 变种 


最 糟糕 的 是 那些 利用 了 人 们 想 要 帮助 他 人 的 愿望 的 钓鱼 攻击 。 在 悲剧 事件 发 生 后 的 几 
小 时 内 , 骗子 会 发 送 一 些 请 求 帮助 的 邮件 。 图 1-16 展示 了 一 封 在 2011 年 日 本 发 生 海啸 
和 地 震 后 流传 的 邮件 。 报 道 指出 ,这 类 诈骗 在 第 一 次 地 震 发 生 3 小 时 后 就 开始 出 现 了 。 


T a "°° org.uk» 
To: 
Date: Tue +0000 


Subject: Japan Tsunami Appeal | British Red Cross 
Amassive earthquake, the seventh largest recorded in history, struck the east coast of Japan on 
Friday 11 March 





























The earthquake, measuring 9.0 on the Richter scale, triggered a tsunami which hit the east coast 
of Japan with 7-metre-high waves, leaving a trail of destruction. 


Reports say that more than 1,000 people have died in the disaster, with many more missing and 
many injured. The earthquake triggered fires and caused severe damage to buildings, leaving 
more than five million homes without electricity and a million without water. 


The Japanese Red Cross has been working on the ground since the disaster began, mobilising 86 
teams, made up of around 600 doctors, nurses and support staff, to provide first aid and 
healthcare and assess the damage and needs of the communities affected 


More than 300,000 people who were evacuated before the tsunami struck have been housed in 
temporary centres set up in schools and public buildings where the Red Cross is distributing 
thousands of blankets. 


The Japanese Red Cross has agreed to accept donations from the UK. 

In the event that we receive more donations to the Japan Tsunami Appeal than the Japanese Red 
Cross and Intemational Red Cross and Red Crescent Movement can reasonably and efficiently 
spend, any surplus funds will be used to help us prepare for and respond to humanitanan 
disasters both here in the UK and overseas. 


Please make a donation to the Japan Tsunami Appeal to help those affected. 


You can make a donation Via MoneyBookers by sending your payments to 
com. 


Don't have a MoneyBookers account. Please click on http://www. moneybookers com/ to sign up. 
© British Red Cross 2011 





图 1-16 日 本 海啸 期 间 流传 的 钓鱼 邮件 
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很 容易 判断 图 1-16 中 的 邮件 是 一 封 钓 鱼 邮件 ， 因 为 红 十 字 会 是 直接 通过 它 的 网 站 接受 
募捐 的 ， 而 不 是 通过 像 MoneyBookers 这 样 的 服务 给 一 个 雅虎 邮箱 汇款 。 但 是 在 这 次 令 
人 悲伤 的 公共 事件 后 ， 又 有 很 多 人 迫切 地 想 要 帮助 其 他 人 ， 于 是 不 幸 被 骗 。 这 类 通过 
灾难 进行 的 欺诈 会 通过 打 电 话 其 至 是 上 门 屋 求 的 方式 来 使 得 他 们 的 表现 更 允 真 一 些 。 










































































4. 网 络 钓鱼 小 结 

















总 结 一 下 本 节 的 内 容 , 现实 中 的 网 络 钓鱼 有 很 多 不 同 的 形式 , 但 是 有 一 些 共同 的 主题 : 











O 尼日利亚 419 骗局 ( 提前 预支 费用 或 者 窃取 身份 信息 的 变种 ) 
口 金融 /支付 服务 

口 社交 媒体 

口 利用 公共 事件 








这 个 列表 实际 上 还 可 以 扩展 ， 可 以 包括 任何 能 进行 在 线 沟通 的 实体 [ 想 想 eBay, 

Netflix、 软 件 升级 和 USPS (美国 邮政 ) ]。 大 多 数 钓 鱼 欺 诈 都 可 以 归 类 为 初级 至 中 级 
难度 ， 并 且 它 们 都 有 很 多 共性 。 举 例 来 说 ,它们 都 用 到 了 下 面 这 些 要 素来 迫使 人 们 采 
取 行 动 : 

口 贪 焚 

Q ZUR 

O A RUBUS, 

Q 淘 望 交流 

口 好 奇 

口 同情 


























大 多 数 网 络 钓鱼 都 有 一 些 特征 可 供 判断 。 然 而 ， 随 着 钓鱼 攻击 的 手段 变 得 高 明 ， 很 多 
特征 正在 变 得 不 明显 : 




















口 含糊 的 称呼 /签名 

口 未 知 的 / 令 人 怀疑 的 发 送 者 

口 未 知 的 / 令 人 怀疑 的 网 址 链接 

口 错别字 ， 以 及 语法 、 拼 写 和 标点 符号 错误 
口 不 合 情 理 的 借口 ( 特别 是 419 骗局 ) 
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1.3.3 ”更 强大 的 钓鱼 手段 

你 是 不 是 觉得 自己 像 是 在 用 消防 水 带 喝 水 ? 信息 量 大 得 要 将 你 淹没 。 人 们 用 来 穷 取信 
息 的 手段 之 巧妙 和 过 程 之 离奇 真是 让 人 难以 招架 。 更 糟 的 是 ,前面 的 例子 只 是 涉及 了 
最 基本 的 钓鱼 攻击 方式 ， 还 有 更 复杂 〈 和 令 但 丧 ) 的 方式 。 















































我 和 克 里 斯 把 这 些 攻 击 方式 按 难度 分 类 ,是 为 了 帮助 客户 理解 他 们 所 看 到 的 东西 ， 也 











是 为 了 追踪 客户 的 进步 一 一 能 够 识别 越 来 越 复 杂 的 钓鱼 攻击 。 第 6 章 将 会 详细 描述 那 
些 复 杂 的 钓鱼 攻击 。 


1. 中 级 钓鱼 攻击 





你 看 到 的 例子 大 都 是 初中 级 难度 ,但 是 也 有 一 些 例子 介 于 中 级 和 高 级 之 间 。 例 如 ， 塔 
吉 特 公司 例子 中 的 邮件 是 真 的 ， 只 是 链接 指向 了 恶意 网 站 。 让 我 们 对 这 些 琼 手 的 情况 
进行 一 些 更 深入 的 分 析 。 











第 一 个 例子 是 男 外 一 起 银行 钓鱼 欺诈 事件 ， 如 图 1-17 所 示 。 








Subject: [important Message! 


¢ CITIZENS BANK 

(a of EDMOND 

Dear Citizans Bank customer, 

Diring our regular accounts verfication, if has come to our attention that your account may be slightly out of date or incomplete. This irregularity 


can and must be fixed through the Caizens Bank confirmation process that takes 10 minutes to complete and involves logging in and confeming 
your identity ower à Secure Connection a: 











E you choose to disregard this notification, your account maght be restricted and you will not be able to 


* Access your account online 
Pay your monthly bill online 
and download monthly statements 
® Request a credi ling increase or change your address 


Thank you for your prompt attention to this matter and for using Citizens Bank 


Investments offered through Citizens Investment Professionals of Edmond, a non-bank affiliate of Citizens Bank of Edmond 
Copyright 1999-2005 Citizens Bank of Edmond. All rights reserved 














图 1-17 中 级 银行 钓鱼 攻击 





让 我 们 先 谈 谈 骗子 高 明 的 部 分 。 哪 些 因素 可 能 会 导致 人 们 点 击 邮件 中 的 链接 呢 ? 
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O 银行 商标 。 你 可 能 早 就 注意 到 了 这 一 点 , 但 是 很 多 比较 高 明 的 钓鱼 攻击 都 会 搬入 真 
正 的 商标 和 图 片 , 这 使 得 它们 看 起 来 更 正规 。 因 为 我 们 已 经 习惯 了 各 个 公司 给 我 们 
发 邮件 时 显示 的 公司 商标 , 所 以 加 入 商标 是 掩饰 恶意 信息 并 让 我 们 放松 警惕 的 一 种 

口 利用 允 惧 /紧张 心理 。 邮 件 声称 如 果 你 不 采取 行动 ， 你 的 账户 就 可 能 会 被 冻结 。 

Q 使 用 急 连 语气 。 尽管 这 种 信息 不 会 规定 你 采取 行动 的 时 间 , 但 是 你 也 会 被 驱使 迅速 
采取 行动 。 
































基于 到 目前 已 经 谈 到 的 那些 问题 ,我 希望 你 能 够 轻松 地 识别 图 1-17 中 提 到 的 钓鱼 攻 
击 。 抓 住 要 点 了 吗 ? 


口 没有 个 人 化 的 问候 。 

口 发 送 者 无 从 识别 。 

O 奇怪 的 语法 ,包括 看 上 去 不 自然 的 主题 。 

O 链接 重 定向 。 如 果 你 对 链接 进行 调查 ， 很 可 能 会 发 现 它 并 不 是 指向 真正 的 银行 站 
点 (举例 来 说 ,不 是 访问 www.citizensedmond.com， 而 是 访问 www.unknownand- 














likelyillegitimateperson.com )。 


告 这 里 “调查 ”的 意思 是 指 把 据 标 悬 停 在 链接 上 ， 这 样 你 就 可 以 看 到 真实 的 网 
络 链接 了 。 除 非 你 是 安全 专家 或 者 你 的 电脑 防护 性 能 很 好 ， 否 则 不 要 点 击 链 
览 


接 或 者 复制 网 址 到 浏览 器 地 址 栏 中 来 访问 它 。 


mgt 





表面 上 看 , 图 1-18 中 所 展示 的 例子 很 像 前 面 的 银行 邮件 , 但 是 有 几 个 因素 使 得 人 们 更 
难 识别 出 它 是 一 封 欺 诈 性 邮件 。 仔 细 看 看 这 封 邮 件 ， 然 后 思考 一 下 。 














仔细 观察 这 封 邮件 后 ， 你 可 能 会 捕捉 到 一 些 更 为 复杂 的 细节 ， 这 些 细节 使 得 图 1-18 
中 的 钓鱼 比 普通 的 钓鱼 攻击 更 高 明 。 








口 更 个 人 化 的 问候 。 这 封 邮件 很 显然 是 发 给 具体 的 某 个 人 的 ， 邮件 中 谈 到 了 那个 人 的 
公司 。 尽 管 没 有 使 用 图 片 或 者 商标 , 但 是 BBB (Better Business Bureau ) 公司 本 身 
是 一 家 知名 机 构 。 

O 更 好 地 利用 了 丽 惧 /紧张 心理 。 这 是 一 封 投诉 邮件 ,来 自 BBB 公司 ， 特 别提 到 了 合 
同 的 事 以 及 公司 并 没有 回复 投诉 者 的 事 。 这 些 足够 让 一 个 公司 所 有 者 大 吃 一 惊 。 
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口 利用 权威。 邮件 中 谈 到 了 参考 编号 、 案 件 编号 、OMB ( 美国 预算 管理 局 ) 号 码 ， 
看 起 来 非常 正式 。 











From: Better Business Bureau [mailto:seatac@bbb.org] 

Sent: Monday, April 12, 2010 10:43 AM 

To: [Redacted] 

Subject: BBB Complaint Case #844383171 (Ref #93-3469167-57423037-6-169) 


BBB CASE #866101237 





Complaint filed by:|Jason Harlow 


Business Name:[Business Name Redacted] 
Complaint filed against: Contact:[Contact Name Redacted] 
BBB Member:YES 


Case closed datedpending | 





Please click here to access the complaint 





On April 9th 2010, the consumer provided the following information: (The consumer indicated he/she DID NOT received 
any response from the business.) 


The form you used to register this complaint is designed to improve public access to the Better Business Bureau of 
Consumer Protection Consumer Response Center, and is voluntary. Through this form, consumers may electronically 
register a complaint with the BBB.Under the Paperwork Reduction Act, as amended, an agency may not conduct or 
sponsor, and a person is not required to respond to, a collection of information unless it displays a currently valid OMB 
control number. That number is 235-677. 


© 2010 US.BBB.org, All Rights Reserved. 




















图 1-18 ”中 级 钓鱼 攻击 : 伪装 成 BBB 4 F] UREE KS 5 f MRA 





T 








Q 邮件 地 址 。 发 件 考 的 邮箱 看 起 来 可 信 ， 因 为 看 起 来 是 来 自 @bbb.org 域名 的 。 




















幸运 的 是 ， 这 封 邮件 仍然 有 一 些 漏洞 ， 你 注意 到 了 吗 ? 


口 邮件 主题 中 的 案件 编号 和 邮件 正文 中 的 案件 编号 并 不 相同 。 

a 没有 发 件 者 的 身份 信息 。 虽 然 邮 件 来 自 BBB 公司 , 但 是 你 可 能 会 想到 这 种 事 应 该 
有 专人 负责 联系 你 。 

口 同样 ， 如 果 调 查 邮件 中 链接 到 投诉 信息 的 链接 ， 会 发 现 它 并 不 指向 BBB 公司 所 拥 
有 的 域名 。 

口 仍然 有 轻微 的 语法 错误 。 

口 我 查 了 一 下 ，BBB 公司 并 没有 消费 者 权益 部 门 。 


























2. 高 级 钓鱼 攻击 





是 时 候 看 一 些 更 难 识别 的 例子 了 。 图 1-19 所 示 的 是 高 级 钓鱼 攻击 的 例子 。 不 像 图 1-13 
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LinkedIn 的 邮件 ,这 封 邮 件 更 狐 独 、 更 难 识别 。 我 怀疑 这 是 一 封 洲 请 你 与 其 他 人 关 
联 的 克隆 邮件 ， 就 像 图 1-14 中 塔 吉 特 公司 的 那 封 邮件 一 样 。 





PT my network on Linkedlr 


Antworten Allen antworten Weiterleiten » a- e- 





EE via LinkedIn [membereiinkedin.<om] Kontakt hinzufügen 03.04.2013 08:52 
An: 


Join my network on LinkedIn 


LinkedIn 


EE © quested to add you as a connection on Linkedin: 


I'd like to add you to my professional network on LinkedIn. 











Accept View invitation imn —— — | 





WHY MIGHT CONNECTING WITHER BE A GOOD IDEA? 
IEEE connections could be useful to you 


After accepting IEE invitation, check connections to see who else you 
may know and who you might want an introduction to. Building these connections can create 
opportunities in the future. 


A® 2012, LinkedIn Corporation 


























图 1-19. 高 级 钓鱼 攻击 : 伪装 成 LinkedIn 公司 邮件 的 钓鱼 邮件 
这 封 邮 件 为 什么 有 效 ? 
口 它 发 自 一 个 “真实 ”的 人 。 因 为 他 有 LinkedIn 账户 ， 所 以 他 肯定 是 真 的 , 不 是 吗 ? 


O LinkedIn 是 社交 媒体 ， 所 以 你 会 期 待 有 陌生 人 来 邀请 你 。 
O 邮件 中 有 LinkedIn 的 商标 ， 而 且 它 和 你 之 前 收 到 的 邀请 邮件 一 样 。 








的 确 , 图 1-19 中 的 钓鱼 攻击 做 得 很 好 。 如 果 这 是 一 封 克隆 邮件 , 那么 它 就 不 会 在 语言 、 
格式 或 者 商标 上 存在 问题 ， 所 以 你 需要 做 更 多 的 调查 。 

















口 检查 链接 ， 看 它们 指向 哪里 。( 再 次 提醒 ， 检 查 并 不 是 点 击 ! ) 
口 确认 发 件 人 的 邮箱 地 址 是 否 与 想 要 关联 你 的 LinkedIn 账户 邮件 地 址 一 样 。( 要 有 批 
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判 性 思维 。) 
O 如 果 你 仍然 不 放心 ， 那 就 忽略 这 封 邮件 ， 登 录 你 的 LinkedIn 账户 看 看 是 否 有 邀请 
请 求 。 











图 1-20 展示 的 是 我 的 一 位 朋友 收 到 的 一 封 邮件 。 他 收 到 AT&T (美国 电话 电报 公司 ) 
的 邮件 是 很 寻常 的 一 件 事 ， 因 为 他 是 AT&T 的 手机 用 户 。 幸 运 的 是 ， 他 是 极其 注意 
安全 的 一 类 人 ， 想 在 回复 这 封 邮 件 之 前 仔细 检查 一 下 。 我 十 分 确信 这 是 一 次 高 级 钓 
鱼 攻击 。 




















€E atat Manage myAT&T Account 


Voicemail Message Receiving ID: 


k 4 j XXB98-CA602-E47RSZ 
You have received a voicemail at 2012-10-01 36:54:55 CST. 


From Number(s): 


You are receiving this message because we were unable to |http://sheltonspringshomes.com/ 
voice message did not go through because the voicemail ws 1hceqer2/index.html 
unavailable at that moment. Click to follow link 


* The reference number for this message is RUQX QSIO7-1261609993- 





4699584144-05. Getting To Know AT&T 
Watch helpful videos to get 

The length of transmission was 12 seconds. you better acquainted with 

The receiving machine's ID: XXB98-CA602-E47RSZ. your new AT&T service. 

This message can be opened using Adobe Reader. If you have not |] View the videos on 

already installed Adobe Reader, download it for free: 

http: t.adobe.com/ reader; We value and appreciate your 

business! 
Thank you, 


AT&T Online Services 


Contact Us 
AT&T Support - quick & easy support is available 24/7. 





*Mobile Broadband coverage not available in all areas. 
** Based on U.S. carriers. 


Attention New Jersey customers and small businesses: FREE e-cycling for electronic devices with video 
screens more than 4 inches at nearby collection sites. http://vevew.nj-gov/dep/dshw/ewaste/collectionsites.pdf or 
1-B66-DEPKNOW 











图 1-20 ”高 级 钓鱼 攻击 : 伪装 成 AT&T 邮件 的 钓鱼 邮件 











我 不 知道 图 1-20 中 的 那 封 邮件 是 否 是 ATAT 公司 邮件 的 克隆 ; 如 果 不 是 , 那么 这 封 邮 
件 的 确 很 逼真 。 它 会 让 大 部 分 普通 用 户 信以为真 ， 原 因 如 下 。 


口 使 用 AT&T 的 商标 、 颜 色 和 图 片 。 
口 没有 明显 的 语法 、 拼 写 和 标点 符号 问题 。 
口 以 语音 邮箱 无 法 访问 为 借口 ， 会 让 大 部 分 人 立即 采取 行动 。 
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那么 是 什么 让 我 的 朋友 避 开 了 这 次 钓鱼 攻击 呢 ? 





口 他 花 了 一 点 时 间 才 意识 到 他 收 到 这 封 邮 件 的 邮箱 并 不 是 与 AT&T 绑 定 的 邮箱 , 这 一 
点 真是 帮 了 他 一 把 。 

口 这 封 邮件 没有 个 人 问候 。 

Q 邮件 地 址 包含 了 一 个 恶意 网 址 。 我 的 朋友 检查 了 所 有 的 链接 , 发现 了 一 件 有 趣 的 事 
情 。 整 个 邮件 中 除了 一 个 网 址 是 恶意 的 以 外 ， 其余 的 都 是 正常 的 网 址 。 如 果 不 是 他 
非常 彻底 地 检查 了 邮件 ， 那 么 这 看 起 来 就 像 是 一 封 真 的 邮件 。 

















































































































显然 AT&T 这 封 钓鱼 邮件 很 难 识别 ， 因 为 它 确实 通过 了 基础 的 嗅 探测 试 。 幸 运 的 是 ， 
我 的 朋友 从 来 不 通过 邮件 中 的 链接 访问 任何 账户 。 希望 你 读 完 本 书 之 后 ,至 少 能 反思 
一 下 自己 收发 邮件 的 习惯 。 






































1.3.4” 鱼 叉 式 网 络 钓鱼 


在 本 章 的 最 后 ， 让 我 们 谈 谈 鱼 又 式 网 络 钓鱼 攻击 。 这 是 一 种 针对 特定 目标 进行 个 人 定 
制 的 钓鱼 攻击 。 攻 击 者 会 花 时 间 了 解 你 ， 至 少 知道 你 的 姓名 和 邮箱 地 址 。 他 对 你 的 了 
解 会 依据 你 的 重要 程度 而 定 。 通 过 搜索 引擎 ， 他 可 以 在 社交 媒体 上 找到 你 的 账户 、 网 
站 ,或 者 任何 你 在 网 上 参与 过 的 内 容 。 如 果 你 真 的 很 重要 ， 那 么 他 可 能 会 知道 你 的 兴 
趣 爱好 和 拥有 的 资产 ， 甚 至 可 能 了 解 你 的 家 庭 情况 。 如 果 发 现 了 你 的 一 些 丑 闻 或 者 十 
粹 的 事 ， 那么 他 甚至 不 用 掩饰 对 你 拥有 的 东西 的 企图 。 在 这 种 情况 下 ,他 可 能 会 用 这 
些 信 息 来 敲诈 你 或 者 让 你 帮 他 获得 更 多 信息 。 我 跑题 了 ， 下 面 继续 讨论 网 络 钓鱼 。 






















































































令 人 毛骨悚然 的 是 ， 这 种 程度 的 调查 可 以 制造 出 让 人 难以 抵御 的 钓鱼 攻击 。 一 个 非常 
想 要 从 你 手中 拿 走 某 些 东 西 的 攻击 者 会 不 择 手段 。 他 会 知道 你 是 否 曾经 得 到 严重 的 疾 
病 而 且 现 在 是 慈善 机 构 的 支持 者 。 他 会 知道 你 是 否 喜 欢 在 网 上 赌博 , 或 者 你 是 否 有 超 
出 偿还 能 力 的 抵押 贷款 。 这 些 都 是 鱼 又 式 网 络 钓鱼 的 核心 ， 它 是 个 人 定制 的 。 









































图 1-21 是 一 起 最 近 发 生 的 鱼 又 式 网 络 钓鱼 ， 它 针对 的 是 高 层 管理 人 员 。 "你 能 想象 你 
的 邮箱 收 到 一 封 这 样 的 邮件 吗 ? 








(D John Markoff, “Larger Prey Are Targets of Phishing,” April 16, 2008, http://www.nytimes.com/2008/ 
04/16/technology/l6whale.html? r-0. 
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让 我 们 来 分 析 图 1-21 中 的 这 封 邮件 ， 看 看 是 什么 让 这 封 邮件 充满 说 服 力 ? 





口 邮件 中 使 用 了 美国 地 方法 院 的 徽标 。 








| AO Mey 11796 Butoosra e a Civ Cone 


ast STA, 
SU de 


the 
UNITED STATES DISTRICT COURT 





Ou oe Ou 
r f + 
Sy Ric n cov 


Um 
SUBPOENA IN A CIVIL CASE 


Case number: 28-75 
Uni ved gece District Court 


YOU ARE HEREBY COMMANDED to appear and testify before the Grand Jury of the United States District Court 
at the place, date, and time specifiied below. 
Place: United States Courthouse Date and Time: May 7,2004 

#80 Front Street $:90 a.m. FST 

San Diego, California 92102 


Room: Grand Jurv Roca 


图 1-21. 鱼 叉 式 网 络 钓鱼 


和 对 权威 的 敬 晨 。 有 人 曾经 因为 被 传唤 或 者 被 命令 出 席 审判 而 高 











Q HETERIBI T 
兴 吗 ? 

口 个 人 化 程度 高 ， 有 全 名 、 邮 件 地 址 、 公 司 和 电话 号 码 。 

口 邮件 中 包含 了 时 间 限 制 ， 有 出 席 的 时 间 以 及 不 出 席 的 后 果 。 
O 没有 任何 明显 的 拼写 或 者 语法 错误 。 

OQ 发 送 者 看 起 来 似乎 可 信 : subpoena@uscourts.come 


mn 

















说 实话 , 我 认为 对 任何 人 来 说 这 封 邮件 都 很 难 判断 真 假 。 下 面 是 我 能 找到 的 两 个 漏洞 。 





口 链接 到 传票 的 网 站 是 恶意 网 站 。 这 个 例子 中 , 它 链 接 到 了 一 个 下 载 密码 记录 软件 的 
网 站 。 

O 发 件 人 的 邮件 地 址 是 @uscourts.com， 看 起 来 可 信 ， 但 是 实际 上 所 有 的 法 院 邮 箱 地 
址 都 在 顶级 域名 .gov 下 。 
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就 是 这 样 ， 你 有 两 个 机 会 判断 出 这 封 给 你 夷 来 压力 和 紧张 的 邮件 是 假 的 。 再 次 强调 ， 
除非 你 有 一 个 根深 蒂 固 的 好 习惯 ， 和 否则 你 就 会 中 招 。 





1.4 总 结 


1 一口 








现在 你 已 经 初步 了 解 了 网 络 钓鱼 的 世界 。 在 本 章 中 ， 你 应 该 知道 下 面 这 些 要 点 : 


口 网 络 钓鱼 的 定义 

口 常见 的 目标 /攻击 者 

a 网 络 钓鱼 的 理由 

口 骗子 所 使 用 的 技术 

口 利用 网 络 钓鱼 攻击 的 公共 事件 诈骗 示例 
O 日 常生 活 中 常见 的 网 络 钓鱼 

口 难度 概览 

















我 希望 你 对 网 络 钓鱼 有 了 更 深入 的 了 解 : 它 的 定义 、 范 围 ， 以 及 为 什么 对 所 有 人 来 说 
它 都 是 一 个 越 来 越 严重 的 问题 。 














让 我 用 一 些 冷冰冰 的 数字 来 总 结 一 下 本 章 。 从 2012 年 5 月 到 2013 年 4 月 的 短 短 几 个 
月 内 ， 有 超过 3700 万 用 户 声 称 遭 受 了 钓鱼 攻击 。 这 还 只 是 来 自 一 个 消息 来 源 ， 是 我 
们 碰巧 知道 的 部 分 。 据 估计， 每 天 大 约 有 3000 亿 封 电子 邮件 被 发 送 ， 其 中 90% 是 垃 
圾 邮件 和 病毒 邮件 。" 这 些 数字 肯定 让 你 大 吃 一 惊 。 它 们 确实 也 说 明了 一 件 事 : 如 果 
你 有 电子 邮箱 ， 那 么 你 总 有 一 天 会 收 到 钓鱼 邮件 。 





















































放 轻 松 点 儿 ， 因 为 我 们 从 这 里 开始 要 深入 黑暗 水 域 了 。 网 络 钓鱼 并 不 只 是 关于 你 点 击 
了 什么 ,而 是 关于 你 为 什么 会 点 击 它 。 让 我 们 深入 人 类 操作 系统 ， 看 看 是 什么 让 它 叮 
KME, WERA ERIE? 让 我 们 出 发 吧 。 

















(D Social-Engineer Infographic, April 28, 2014, http://www.socialengineer.org/resources/social-engineering- 


infographic/. 
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“我 立刻 就 后 悔 做 这 个 决定 了 1” 
一 一 朗 . 伯 车 蒂 (Ron Burgendy， 跳 入 圣地 亚 哥 
动物 园 的 能 池 后 ), 《王牌 播音 员 》 


本 章 将 会 探究 一 些 关 于 决策 的 问题 。 为 什么 我 们 在 明知 结果 注定 不 妙 时 ， 还 是 会 做 某 
Lg? 其 他 人 经 历 或 者 观察 到 了 什么 ， 导 致 他 们 做 出 了 和 你 不 一 样 的 决定 ? 








有 一 个 至 今 仍 让 我 觉得 好 笑 的 和 决策 有 关 的 故事 。 我 17 岁 开 始 在 军事 学 校 念 大 学 。 
这 是 一 个 不 鼓励 面 带 微笑 的 地 方 , 也 是 一 个 你 永远 不 用 考虑 穿 什么 的 地 方 一 一 指导 员 
每 天 早上 会 让 你 知道 的 。 上 课 、 吃 饭 和 其 他 活动 都 必须 服从 指令 。 大 一 时 ， 我 很 幸运 
地 被 选中 参加 一 场 在 怀俄明 大 学 举办 的 足球 赛 。 新 兵 被 要 求 时 刻 穿着 制服 ， 而 在 出 校 
时 ,我 们 得 换 上 一 套 被 称 为 军 便服 的 特殊 制服 。 这 是 一 套 更 为 正式 的 制服 ,包含 夹克 
和 网 舌 帽 ， 就 像 在 包含 敌 方 威胁 和 安全 掩体 的 电影 中 军人 的 装备 一 样 。 



































当 我 们 进入 体育 场 ， 看 着 排列 得 井然 有 序 的 座位 时 ， 我 意识 到 几 个 问题 。 








a 今天 阳光 明媚 一 一 感觉 像 有 几 千 摄氏 度 一 一 我 们 要 在 整 场 比赛 中 一 直 穿 着 军 便服 。 
a 当 我 笔直 地 坐 在 看 台 上 的 时 候 , 后 背 汗 水 直流 。 我 注意 到 对 面 看 台 上 挤 满 了 留 着 长 
发 的 年 轻 人 ， 他 们 《在 我 看 来 ) 与 我 们 相 比 就 像 没 穿 衣 服 一 样 。 他 们 跳舞 、 吵 架 、 
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唱歌 、 吸 烟 ， 还 把 啤酒 瓶 到 处 乱 扔 。 
我 很 清楚 地 记得 我 当时 心里 想 的 是 :“ 该 死 ， 我 做 了 一 个 错误 的 决定 。” 


然而 几 十 年 过 去 了 , 我 很 高 兴 我 选 了 那 条 路 。17 岁 时 , 我 每 天 都 为 自己 所 做 的 决定 而 
感到 后 悔 ， 但 是 现在 看 来 在 军事 学 校 就 读 其 实 是 一 个 很 好 的 决定 。 






































我 讲 这 个 故事 是 为 了 说 明 几 个 问题 ， 你 应 该 在 阅读 这 一 章 的 时 候 思考 一 下 。 




















口 决策 的 好 坏 并 不 总 是 与 我 们 对 这 个 决策 本 身 是 否 感到 满意 有 关 。 

a 决策 包含 了 一 系列 因素 ， 如 我 们 的 看 法 和 情绪 。 

a 我 们 每 天 都 在 做 出 或 大 或 小 的 决策 ， 即 使 在 并 不 具备 所 需 的 全 部 相关 信息 的 情况 下 。 
D 我 们 不 假 思索 地 、 频 繁 地 做 出 这 些 或 大 或 小 的 决策 。( 最 后 这 一 点 是 钓鱼 攻击 者 最 
喜欢 的 。) 
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决策 无 疑 是 一 种 特权 , 但 也 可 能 是 一 件 可 怕 而 充满 压力 的 事情 。 极 少数 特殊 的 情况 下 ， 
你 才能 清楚 地 知道 你 的 决策 正确 与 否 。 我 们 喜欢 通过 权衡 轻重 的 方式 来 思考 问题 ， 并 
会 清醒 地 考虑 可 能 的 后 果 。( 举例 来 说 ， 你 有 一 个 很 好 的 理由 购买 一 辆 肌肉 车 而 不 是 
混合 动力 车 ,不 是 吗 ? ) 但 是 你 知道 情况 并 非 总 是 如 此 。 












































a 


管 我 们 每 天 会 做 出 很 多 大 大 小 小 的 决策 ， 但 决策 实际 上 是 一 个 非常 复杂 的 认 知 过 
程 ， 它 是 很 多 研究 的 主题 。 有 适用 于 心理 学 、 体 育 、 商 业 、 经 济 学 、 政 治学 等 的 决策 
模型 和 理论 。 























我 并 不 是 想 试 着 让 你 成 为 一 个 决策 专家 ,但 我 要 为 你 介绍 一 些 概念 供 你 思考 。 我 并 没 
有 宫 括 所 有 已 经 完成 的 或 者 正在 进行 的 优秀 的 研究 ， 权 当 和 门 吧 。 





即使 只 是 进行 一 个 粗略 的 检查 ,也 可 以 发 现 有 很 多 因素 会 影响 决策 的 过 程 和 结果 。 在 
阅读 下 面 的 内 容 并 感到 绝望 之 前 ， 请 记 住 ， 人 类 ( 还 有 其 他 物种 ) WRL PERRA 
于 一 个 原因 : 生存 。 本 章 中 谈 到 的 很 多 因素 都 增加 了 生存 的 可 能 性 ， 无 论 是 鼓励 我 们 
快速 思考 ,还 是 在 情况 危急 时 冒 更 大 的 风险 。 虽 然 我 们 中 的 大 多 数 不 再 靠 牙 齿 和 爪子 
生存 ， 但 是 我 们 依然 会 为 了 生存 而 做 出 适应 和 调整 。 
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2.1.1 ” 认 知 偏差 


我 有 认 知 偏差 .你 也 有 ， 实 际 上 我 们 都 有 。 不 过 不 必 担 心 ， 这 是 正常 的 。 认 知 偏差 是 
一 种 思维 定 势 ,通常 源 于 过 去 的 经 验 。 有 时 候 认 知 偏差 是 好 的 ， 因 为 它 使 你 更 快 或 者 
更 好 地 做 出 决定 。 然 而 很 多 时 候 它 也 会 导致 错误 决策 ， 因 为 认 知 偏差 会 妨碍 你 获取 所 
有 可 用 的 信息 。 














如 果 人 类 是 真正 理性 的 决策 者 ,那么 不 管 情 况 如 何 , 我 们 都 应 该 会 基于 事实 做 出 相同 
的 决定 。 但 事实 并 非 如 此 ,一 个 经 典 的 例子 是 , 20% 是 肥 肉 的 肉 和 80% 是 瘦 肉 的 肉 ( 见 
图 2-1), RAKIP? 


























图 2-1 KEKE EA] 





20% 肥 肉 含量 和 80% 瘦 肉 含量 的 意义 是 完全 一 样 的 ,但 在 美国 ， 绝 大 多 数 人 会 选择 第 
一 种 。( 此 处 特 指 美 国 ， 因 为 在 其 他 一 些 国 家 ， 肉 类 是 按 脂肪 的 含量 来 销售 的 。) 框架 
效应 〈framing effect) 就 是 一 种 认 知 偏差 ， 它 指 的 是 你 的 反应 取决 于 当时 的 情形 ， 或 
者 说 你 的 反应 依赖 于 语 境 。 











我 和 丈夫 常常 访问 一 个 网 页 ， 它 所 使 用 的 壁纸 是 有 趣 而 独特 的 图 片 。 这 个 网 页 上 有 一 
张 照片 是 由 一 系列 垂直 排列 、 参 差 不 齐 的 彩色 的 点 构成 的 一 鲜艳 的 绿色 、 蓝 色 、 橙 
色 、 红 色 和 紫色 。 我 们 一 开始 以 为 这 是 一 幅 不 太 好 的 抽象 画 。 但 在 仔细 观察 之 后 我 们 
发 现 ， 这 其 实 是 彩虹 校 树 树 皮 的 近 距 离 拍摄 的 照片 。 我 们 本 来 感觉 有 些 无 聊 和 失望 ， 
项 刻 间 变 得 欣喜 起 来 ， 仅 仅 因为 语 境 (上下文 ) 变 了 。 壁 纸 本 身 没有 发 生变 化 , 但 是 
我 们 的 反应 却 因 为 语 境 的 不 同 而 产生 了 巨大 的 改变 。 
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男 一 个 总 是 影响 我 们 决策 的 认 知 偏差 是 可 用 性 启发 法 ( availability heuristic )。 这 是 一 
条 我 们 用 来 快速 进行 决策 的 捷径 ， 它 依赖 于 我 们 容易 想起 来 的 事物 。 


举例 来 说 ， 你 认为 在 美国 被 自动 贩卖 机 磺 死 的 人 多 还 是 死 于 次 鱼 秦 击 的 人 多 ? KARL 
人 可 能 会 选择 次 鱼 秦 击 , 尽管 统计 结果 表明 被 自动 贩卖 机 砸 死 的 人 更 多 一 些 。( 我 知道 
这 个 事实 ， 不 过 是 谁 搞 的 这 种 调查 ? ) 无 论 如 何 ， 在 刚刚 的 判断 中 ， 导 致 你 犯错 误 的 
原因 之 一 就 是 你 能 非常 轻易 地 想起 新 闻 故 事 和 电影 中 效 鱼 袭击 人 的 例子 ， 但 是 你 很 少 
听 说 有 人 被 自动 售 货 机 磺 死 。 如 果 我 们 能 非常 快 地 想起 某 些 事情 ， 那 么 我 们 的 大 脑 会 
倾向 于 高 估 它 的 频率 或 者 重要 性 。 你 可 以 想象 这 种 倾向 对 于 决策 所 造成 的 灾难 性 后 果 。 








最 后 一 个 值得 一 提 的 认 知 偏差 是 确认 偏 误 ( confirmation bias )。 这 是 说 你 倾向 于 寻找 
文 持 你 的 观点 的 信息 ， 或 者 按照 支持 你 的 观点 的 方式 来 解读 信息 。 举 例 来 说 ， 也 许 你 
认为 杜 宾 犬 是 一 种 危险 、 好 斗 的 狗 ( 见 图 2-2 )， 那 么 如 果 你 在 公园 看 到 一 只 杜 宾 犬 在 
叫 ， 可 能 会 认为 它 充满 敌意 而 不 是 在 嬉闹 。 回 家 后 ， 你 可 能 会 上 网 搜索 “村 宾 犬 伤 人 
事件 ”而 不 是 “ 杜 宾 犬 救 婴儿 事件 ”， 甚 至 搜索 更 粗略 的 “ 狗 伤 人 数据 ”。 





Ns 
图 2-2 这 只 狗 是 在 笑 还 是 准备 咬 人 


显然 , 确实 有 一 些 杜 宾 犬 性 情 暴躁, 但 是 并 不 是 所 有 的 杜 宾 犬 都 是 这 样 。 但 是 你 可 以 
看 到 , 如 果 你 没有 意识 到 你 可 能 并 没有 考虑 到 所 有 的 信息 , 例如 杜 宾 犬 其 实 像 大 号 的 、 
有 臭 味 的 婴儿 ， 认 知 偏差 是 如 何 影响 准确 判断 的 。( 是 的 ， 显 然 我 的 这 一 想法 也 有 个 
人 认 知 系统 在 起 作用 。) 
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2.1.2 ”生理 状态 
你 困 了 吗 ? d pu? 需要 去 洗手 间 吗 ? 身体 状态 会 对 你 的 决策 质量 产生 影响 。 





研究 人 员 发 现 , 一 夜 未 眠 会 导致 做 出 更 冒险 的 决策 。" 他 们 发 现 ， 大 脑 中 负责 乐观 态 
度 的 部 分 会 更 活跃 ， 同 时 负责 计算 可 能 的 负面 结果 的 部 分 的 活动 减少 了 。 这 意味 着 当 
我 们 疲惫 的 时 候 ， 会 高 佑 我 们 成 功 的 可 能 





拉 斯 维 加 斯 赌场 已 经 利用 这 一 点 相当 长 一 段 时 间 了 。 借助 明亮 的 灯光 和 衣着 性 感 的 鸡 
尾 酒 女 招 待 ， 以 及 几乎 没有 时 钟 和 窗户 的 房间 ， 赌 场 让 你 长 时 间 沉 迷 于 赌博 中 而 不 知 
夜晚 早已 流逝 。 

















你 曾经 有 过 快要 饿 疯 了 的 感觉 吗 ” 克 里 斯 非常 清楚 我 很 俄 时 会 发 生 什 么 。 当 我 们 一 起 
工作 的 时 候 ， 他 每 隔 20 分 钟 就 会 给 我 买 一 些 含 糖 的 饮料 和 食物 。 但 饥饿 不 仅 会 让 你 
情绪 失控 ， 还 会 导致 冒险 行为 。 








很 多 对 人 类 和 动物 的 研究 确认 : 随 着 饥饿 程度 的 增加 ， 冒 险 的 决策 也 会 增加 。“ 从 生 
存 的 角度 而 言 ， 这 说 得 通 。 事 实 上 ,， 饥 俄 是 一 种 威胁 ( 并 非 仅 仅 是 克 里 斯 眼 中 我 血糖 
降低 时 的 一 个 显 式 行为 )。 由 于 生存 机 制 是 天 生 的 ， 当 缺乏 食物 关系 到 生死 存亡 时 ， 
我 们 对 饥饿 的 反应 与 我 们 的 祖先 是 一 样 的 。 





























最 后 ， 你 记得 你 上 次 不 得 不 去 洗手 间 是 什么 时 候 吗 ? 我 的 意思 是 ,你 必须 要 去 了 。 你 
记得 你 集中 注意 力 努 力 灿 住 时 的 感觉 吗 ? 水流 的 声音 都 是 一 种 折磨 。 如 果 你 在 车 上 ， 
那么 每 次 微小 的 颠 复 都 像 是 即将 到 来 的 末日 一 样 。 


米利 安 : 图 友和 他 的 同事 做 过 一 个 有 趣 的 研究 ， 似 乎 支持 了 这 样 一 个 理论 : 你 在 抑制 
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自己 不 在 附近 的 灌木 从 里 “解决 ”时 所 用 到 的 自我 控制 “溢出 ”到 了 决策 中 。 Un 
之 ,控制 去 洗手 间 的 冲动 使 得 你 更 好 地 控制 不 相关 领域 的 冲动 。 


























一 个 价值 百 万 美元 的 问题 是 :“ 当 你 饭 了 、 想 要 小 便 或 者 一 夜 未 眠 的 时 候 会 发 生 什 
么 ? ”我 不 知道 答案 , 但 是 研究 表明 : 如 果 你 吃 饱 了、 去 了 厕所 并 小 划一 下 ,那么 你 
的 反应 可 能 会 和 之 前 有 所 不 同 。 








2.1.3 ”外 部 因素 


如 果 不 考 虑 我 们 所 处 的 外 部 环境 ， 那 么 关于 驱使 我 们 选择 的 因素 的 讨论 是 不 完整 的 。 
外 部 环境 包括 我 们 周围 的 物质 环境 与 身 在 其 中 的 人 。 

















像 温 度 和 环境 光 这 些 因素 不 一 定 会 直接 影响 我 们 选择 鸡肉 还 是 汉堡 。 与 此 类 似 , 我 不 
能 通过 调整 恒温 带 来 迫使 你 点 击 钓鱼 链接 。 我 想 说 的 是 ,研究 表明 环境 可 以 影响 或 者 
加 强 我 们 对 情景 的 感觉 。 








某 种 程度 上 ， 体 温和 人 际 关系 融 洽 、 信 任 以 及 慷慨 的 行为 都 有 关 。 在 “体温 影响 信任 
行为 : 脑 岛 的 作用 ”这 篇 论文 中 ， 姜 人 允 儿 等 人 发 现 ， 短 时 间 的 温暖 或 寒冷 的 刺激 ,会 
导致 人 们 在 信任 游戏 中 做 出 不 同 的 选择 。 大 脑 中 有 一 块 特定 区 域 同 时 负责 温度 感知 和 
信任 选择 -。“ 劳 伦 斯 .威廉 姆 斯 和 约翰 巴 奇 在 “体温 升 高 促进 了 人 际 关系 升温 ”中 也 
有 类 似 的 发 现 。 然而 在 其 他 研究 中 ， 酷 热 则 常常 与 愤 爷 、 好 斗 以 及 决策 受 损 有 关 。” 
想 想 在 大 热天 想 要 导航 到 奥兰多 的 某 个 度假 胜地 时 那 垩 梦 般 的 场景 吧 , 那 可 真 算 不 上 
是 美好 的 体验 。 




















(D Mirjam A. Tuk, Debra Trampe, and Luk Warlop, “Inhibitory Spillover: Increased Urination Urgency 
Facilitates Impulse Control in Unrelated Domains,” 2010, https://spiral.imperial.ac.uk:8443/bit-stream/ 
10044/1/10464/2/Tuk_etal_PsychologicalScience_2011.pdf. 

(2 Yoona Kang, Lawrence E. Williams, Margaret S. Clark, Jeremy R. Gray, and John A. Bargh, “Physical 
Temperature Effects on Trust Behavior: The Role of Insula," August 27, 2010, http://www.ncbi.nlm.nih. 
gov/pmc/articles/PMC3150863/. 

(3 Lawrence E. Williams and John A. Bargh, “Experiencing Physical Warmth Promotes Interpersonal 
Warmth,” September 3, 2009, http://www.ncbi.nlm.nih.gov/pmc/articles/PMC2737341/. 

( John Simister, “Links Between Violence and High Temperature," 2008, http://www.academia.edu/ 
443678/Links Between Violence and High Temperatures; Amar Cheema and Vanessa M. Patrick, 





"Influence of Warm Versus Cool Temperatures on Consumer Choice: A Resource Depletion Account," May 
1, 2012, http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2088973. 
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虽然 我 们 倾向 于 把 明媚 的 日 子 与 好 心情 联系 起 来 , 但 是 徐 静 和 阿 帕 娜 . 莱 布 罗 最 近 的 
一 项 研究 表明 ， 较 高 的 环境 亮度 只 是 简单 地 放大 了 我 们 的 感受 ， 反 之 亦 然 。 "所 以 如 
果 你 心情 不 错 ， 那 么 一 间 明 亮 的 屋子 会 使 你 感觉 更 好 ; 但 是 如 果 你 很 悲伤 或 者 生气 ， 
那么 同等 亮度 会 使 你 感觉 更 糟 。 



































最 后 , 行为 是 会 传染 的 。 由 于 我 们 是 社会 动物 , 周围 的 人 对 我 们 的 选择 有 巨大 的 影响 ， 
我 们 通常 称 其 为 同伴 压力 、 从 众 与 服从 。 无 论 怎么 称呼 , 人 类 有 一 种 服从 别人 的 倾向 ， 
尤其 是 在 特定 的 情况 下 。 早 在 1951 4p, WETT - 阿 施 博士 便 对 “群体 压力 对 判断 的 
调整 及 扭曲 ”这 一 课题 进行 了 开创 性 的 研究 。“ 在 那 之 后 的 儿 十 年 内 ， 大 量 有 趣 的 研 
究 一 次 又 一 次 地 表明 社会 环境 确实 对 我 们 有 影响 。 

















其 中 一 个 会 影响 我 们 的 因素 是 形势 的 不 确定 性 。 如 果 我 在 吧台 点 了 一 份 三 明治 ,并 让 
人 给 我 送 过 来 ,那么 我 该 付 小 费 吗 ?我 不 确定 。 但 是 吧台 上 的 一 个 用 来 收 小 费 的 钢 子 
提醒 了 我 。 服 务 行业 的 人 都 知道 ， 放 小 费 钢 子 可 以 鼓励 人 们 付 小 费 。 


男 一 个 会 影响 决策 的 因素 是 群体 的 大 小 、 地 位 和 一 致 性 ,例如 ,每 个 人 都 会 付 小 费 吗 ? 
付 小 费 的 是 电影 明星 或 VIP， 还 是 普通 人 ? 























我 想 大 多 数 人 在 面临 选择 时 都 不 会 觉得 自己 是 一 头 思春 的 绵羊 , 但 也 许 当 你 回想 不 太 
远 的 过 去 时 ， 就 不 会 这 么 想 了 。 历 史上 来 说 ， 从 众 保证 了 我 们 的 安全 。 当 看 到 其 他 人 
都 在 逃离 那 只 颇 毛 很 特别 的 猫 科 动 物 时 ， 也 许 我 也 会 跟着 跑 。 





2.1.4 决策 的 底线 

和 希望 你 现在 对 什么 会 影响 我 们 的 决策 过 程 有 一 些 了 解 了 。 我 们 并 非 想 要 告诉 你 所 有 关 
于 决策 的 信息 和 研究 成 果 ， 使 得 你 成 为 这 个 复杂 而 庞大 的 领域 的 专家 ， 毕 竟 ， 这 是 一 
本 关于 钓鱼 攻击 而 非 行为 经 济 学 的 书 。 下 面 是 你 从 本 节 中 学 到 的 东西 。 



































Q 我 们 在 决策 时 并 非 总 是 充满 理智 并 富有 人 逻辑， 有 很 多 因素 影响 着 我 们 的 决策 。 





(D Science Daily, “The Way a Room Is Lit Can Affect the Way You Make Decisions,” February 20, 2014, 
http://www.sciencedaily.com/releases/2014/02/140220132004.htm. 

@ Solomon Asch, “Effects of Group Pressure upon the Modification and Distortion of Judgments,” 1951, 
http://psycnet.apa.org/psycinfo/1952-00803-001. 
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a 钓鱼 攻击 者 了 解 我 们 是 如 何 决策 的 , 并 且 试图 操纵 我 们 所 面临 的 情况 以 引导 我 们 做 
出 错误 决定 。 

既然 你 已 经 知道 了 一 些 会 影响 我 们 决策 的 因素 ,你 就 能 够 利用 这 些 信息 来 让 你 自己 和 

公司 变 得 更 安全 。 


22 当局 者 迷 

每 个 人 在 生活 中 都 做 出 过 错误 的 决定 。 这 一 节 要 讲 的 正 是 一 些 本 可 以 做 出 更 好 决定 的 
例子 。 这 些 例 子 事后 看 来 大 多 很 可 笑 , 但 在 你 笑 的 同时 ， 也 请 思考 一 下 是 什么 使 得 人 
们 犯 下 决策 错误 。 

心脏 滴 血 漏洞 ( Heartbleed ) 可 能 是 2014 年 最 大 的 安全 事件 之 一 ， 几 乎 影响 了 互联 网 
上 的 每 个 人 。 大 多 数 人 (正常 ) 的 反应 是 小 心 谨 慎 或 恺 慌 。 但 有 一 位 先生 却 与 众 不 同 
地 把 他 的 密码 张贴 在 《华盛顿 日 报 》 的 网 站 上 ， 并 宣布 其 他 人 可 以 随意 使 用 。" 不 出 
所 料 ， 有 人 这 么 做 了 。 后 来 他 在 网 上 认错 , 但 相 比 之 下 更 重要 的 是 ， 他 学 到 了 重要 的 
一 课 。 晚 上 不 锁 门 是 一 回 事 , 但 车 告诉 所 有 人 你 没有 锁 门 ， 并 声称 谁 要 是 有 本 事 就 去 
窃取 你 的 东西 ， 那 就 是 另 一 回 事 了 。 














































































































这 里 提 一 个 问题 。 如 果 你 打算 抢劫 一 家 企业 ， 你 会 : 





A. 用 透明 的 塑料 袋 谈 住 你 的 脸 ; 
B. 用 交 光 笔 涂 抹 你 的 脸 ; 
C. 用 胶布 、 巧 克 力 或 饼干 来 庶 住 你 的 脸 ; 
D. 以 上 都 不 是 。 






































这 可 不 是 在 开玩笑 。 不 止 一 起 新 闻 报 道 过 有 动 菲 使 用 了 上 面 这 些 方法 来 进行 反 侦察 。” 
当然 ， 对 我 来 说 ， 取 笑 这 些 人 很 容易 ， 因 为 他 们 最 后 都 被 抓 了 。 我 认为 他 们 本 可 以 在 
伪装 手段 方面 做 出 更 好 的 决策 。 抢 动 中 戴 上 黑色 滑雪 面具 有 什么 问题 吗 ? 它 太 经 典 了 。 














(D Konrad Krawczyk, “Man Makes Fun of Heartbleed, Posts Passwords Online, Gets ‘Hacked,’ ” April 16, 
2014, http://www.digitaltrends.com/computing/man-makes-fun-heartbleed-posts-passwords-online-gets-hacked/ 
#!bjg23i. 

@) Natalie Evans, “Robber Who Tried to Hide His Face with Clear Plastic Bag and the Top 10 Strangest 
Disguises," June 20, 2013, http://www.mirror.co.uk/news/weird-news/robber-who-tried-hide-face- 1966995. 
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最 后 再 来 讲 一 个 关于 错误 决策 的 例子 。 "最 近 有 一 家 商店 被 盗 ， 被 盗 商 品 中 有 一 条 非 
常 独特 的 裙子 。 这 家 商店 通过 社交 媒体 描述 了 嫌疑 人 的 特征 以 及 被 盗 的 物品 。( 对 于 
商店 和 执法 部 门 而 言 ) 非常 幸运 的 是 ,小偷 穿 着 偷 来 的 裙子 在 自己 的 社交 账号 上 发 布 
了 一 张 自 拍照 作为 她 的 新 头像 ， 于 是 她 在 三 个 小 时 后 被 捕 并 记录 在 案 。 这 件 事情 告诉 
我 们 : 如 果 你 要 偷 东西 ， 那 么 社交 账号 可 能 并 不 是 一 个 用 来 炫耀 你 的 成 果 的 好 地 方 。 
















































































虽然 这 些 故 事 很 幽默 ， 但 是 它们 都 强调 了 我 在 本 章 开 始 时 提 到 的 几 个 观点 。 





O 决策 的 质量 并 不 总 和 我 们 是 否 对 其 满意 有 关 。 显 然 这 些 例 子 中 的 决策 都 相当 离谱 。 

但 某 种 程度 上 来 说 ， 这 些 人 都 对 自己 的 决策 很 满意 。 

O 决策 是 很 多 因素 的 总 和 , 包括 我 们 的 认 知 和 情绪 。 是 什么 使 得 一 个 人 会 发 布 穿着 偷 

来 的 衣服 的 自拍 照 呢 ? 骄傲 ? 感觉 没有 危险 ? 

a 我 们 每 天 都 在 不 具备 决策 所 需 的 全 部 相关 信息 的 情况 下 做 出 大 大 小 小 的 决策 。 例 
AW, 那 位 在 《华盛顿 日 报 》 网 站 上 发 布 信息 的 先生 ， 他 可 能 并 没有 完全 了 解 事态 的 
严重 性 。 

口 我 们 频繁 且 不 假 思索 地 做 出 大 大 小 小 的 决策 。 尽 管 抢 动 并 非 一 个 无 足 轻重 的 决定 ， 

但 是 使 用 塑料 袋 来 遮挡 自己 面部 的 那 名 罪犯 可 能 并 没有 深思 熟 虑 自己 的 犯罪 手段 。 
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现在 ,让 我 们 带 着 刚刚 学 到 的 关于 决策 的 知识 回 到 钓鱼 攻击 的 主题 上 来 。 进 行 钓鱼 攻 
击 的 人 并 不 一 定 对 人 性 有 着 深刻 的 理解 , 但 是 好 的 钓鱼 攻击 者 确实 对 于 基本 的 决策 过 
程 有 所 了 解 。 他 们 知道 ,如果 他 们 能 够 激 起 我 们 强烈 的 情绪 反应 ， 那么 他 们 将 有 机 会 
使 我 们 的 逻辑 思考 短路 。 因 此 ， 关 键 在 于 如 何 远 距离 创造 一 则 有 吸引 力 的 消息 。 




















我 在 第 1 章 中 提 到 过 在 特定 的 钓鱼 攻击 主题 中 利用 情绪 , 但 下 面 的 例子 对 情绪 的 利用 
更 极端 。 














图 2-3 中 所 展示 的 是 一 个 并 不 高 明 的 钓鱼 攻击 的 例子 ， 但 是 它 很 好 地 说 明了 贪 焚 的 吸 
引力 。 如 果 有 人 把 30 美元 递 给 我 ， 我 会 要 吗 ? 见 氢 ， 当 然 了 。 这 笔 钱 已 经 放 在 那里 








(D Lee Moran, “Illinois Woman Arrested After Posting Selfie Wearing Dress She’d Stolen,” July 21, 2014, 


http://www.nydailynews.com/news/crime/woman-arrested-selfie-wearing-stolen-dress-article-1.1874408. 
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了 ， 你 不 需要 谈判 或 者 提出 要 求 ， 只 需要 轻 轻 点 一 下 鼠标 。 


coinbase 
Hi, 


Click here to sign in and view this transaction 


Kind regards, 
The Coinbase Team| 











图 2-3 ”利用 贪 禁 


说 明 ”比特 币 (Bitcons，BTC ) 是 一 种 在 一 些 国家 可 以 竞 换 成 真实 货币 的 电子 货币 。 
比特 币 的 价格 基于 供给 波动 ， 它 的 总 数 有 限 。 使 用 比特 币 已 经 成 为 了 一 种 很 
受 欢 迎 的 匿名 购买 方式 ， 因 为 它 直接 在 交易 双方 之 间 进 行 流通 ， 不 需要 第 三 
方 金 融 机 构 的 参与 。 图 2-3 所 提 到 的 Coinbase 公司 就 是 一 家 比特 币 交 易 公 司 。 


2-4 展示 了 一 种 前 段 时 间 在 英国 流行 的 钓鱼 攻击 。 英 国 国家 卫生 院 ( National Institute 
for Health and Care, NICE ) 是 一 个 真实 的 医疗 机 构 ， 因 此 这 封 邮 件 看 起 来 像 是 一 封 合 
法 邮件 。 你 很 难 找到 一 个 不 怕 被 诊断 出 癌症 的 人 。 这 种 钓鱼 攻击 比 第 1 章 中 谈 到 的 失 
去 社交 账号 ， 甚 至 比 丢失 银行 账户 更 让 人 焦虑 。 这 种 钓鱼 邮件 对 人 的 生命 提出 质疑 ， 
使 人 产生 了 一 种 非常 明确 的 慌 惧 感 。 














We have been sent a sample of your blood analysis for further research. During the complete 
blood count (CBC) we have revealed that white blood cells is very low, and unfortunately we 
have a suspicion of cancer. 


We suggest you to print out your CBC test results and interpretations in attachment below and 
visit your family doctor as soon as possible. 














图 2-4 Fil FPR, 

如 图 2-5 所 示 ， 钩 鱼 攻击 者 在 宣告 某 个 熟人 死亡 的 电子 邮件 中 利用 了 多 种 情绪 ， 并 在 
邮件 中 使 用 过 世 者 的 真实 姓名 和 地 址 。 想 象 一 下 收 到 这 样 一 封 邮 件 ， 你 可 能 会 感到 恐 
惧 、 伤 心 ,， 还 有 好 奇 。 这 是 一 封 利用 情绪 的 威力 强大 的 钓鱼 攻击 邮件 ， 并 引起 了 联邦 
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贸易 委员 会 (Federal Trade Commision, FTC ) 的 注意 。 





For this unprecedented event, we offer our deepest prayers of condolence and invite to you to be present at the 
celebration of your friends life service on Thursday, January 17, 2014 that will take place at Eubank 
Funeral Home at 11:00 a.m. 

Please find invitation and more detailed information about the farewell ceremony here . 

Best wishes and prayers, 


Funeral home receptionist, 
Lucas Murphy 








图 2-5 FHER, Tete A Ar 





最 后 ， 谁 不 淘 求 爱情 (ae eA in) 呢 ? 除非 你 很 幸运 ， 和 否则 你 可 能 做 出 
了 一 个 与 菜 人 有 关 的 糟糕 的 决定 ， 你 对 这 个 人 很 满意 。 如 图 2-6 所 示 ， 网 络 生活 是 现 
实生 活 的 模仿 再 现 。 






































From: *Russian.Date - frank807 1@pierbr.org 

Subject: A Beautiful Bride Could Be Yours. 252 girls on now. ******* ‘@gmail.com 
Username: ******* @gmail.com 

Password: 44282354 


Single women from Russia. Check out profile today for free. Go here-> http://www.pierbr.org/a48338/? 
chcb9eh4ac91eaa0h10dh0e5d31 




















K 2-6 利用 欲望 











尽管 本 节 所 举 的 例子 不 尽 相 同 ,但 是 情绪 反应 的 循环 大 体 相同 ， 我 猜测 你 可 能 以 某 种 
形式 经 历 过 这 一 切 。 照 此 说 来 ， 当 你 看 到 邮件 时 ， 你 对 邮件 内 容 的 解读 引起 了 你 的 情 
绪 波 动 ， 而 情绪 反应 引发 生理 反应 ,使 你 血压 上 升 、 心 跳 加 快 ， 等 等 。 尽 管 我 们 已 经 
经 历 了 长 时 间 的 现代 化 进程 , 但 是 我 们 的 身体 仍旧 对 于 所 有 的 威胁 ( 即使 是 情绪 上 的 ) 
都 有 所 回应 ,仿佛 在 为 生死 侯 关 的 斗争 做 准备 一 样 。 
































如 果 这 种 反应 足够 强烈 ,那么 它 会 影响 我 们 批判 性 思维 的 能 力 。 如 果 恰 好 有 前 面 讨论 
过 的 因素 起 作用 ( 例如 认 知 偏差 )， 那么 这 些 邮 件 甚至 会 产生 更 大 的 影响 。 我 们 会 沦 
为 冲动 和 情绪 化 行为 的 牺牲 品 。 图 2-7 所 示 的 是 一 种 恶性 循环 。 这 是 克 里 斯 非 常熟 悉 
的 话题 ， 于 是 我 把 下 一 节 交 给 他 了 。 
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基于 情绪 的 钓鱼 
攻击 
— 引起 大 脑 和 身体 








缺乏 理性 导致 省 粥 战胜 } 
错误 决策 情绪 战胜 逻辑 


图 2-7 情绪 化 决策 循环 


2.4 杏仁 核 简介 

米 歇 尔 让 我 在 这 一 节 里 介绍 一 下 我 在 上 一 本 书 (《 社 会 工程 卷 2: 解读 胶体 语言 》) 里 
谈 到 的 一 个 问题 查 仁 核 劫 持 (amygdala hijacking )。 在 讨论 杏仁 核 劫持 之 前 ， 让 
我 们 来 简单 了 解 一 下 大 脑 中 的 一 块 很 神奇 的 区 域 一 一 杏仁 核 。 





查 仁 核 是 一 团 细小 的 灰色 物质 ， 位 于 下 丘脑 的 下 方 、 海 马 体 的 左 方 〈 如 网 2-8 所 示 )。 
尽管 它 很 小 ,但 是 它 有 一 项 主要 的 功能 : 处 理 所 有 形式 的 刺激 〈 视觉、 听觉、 嗅觉 
触觉 、 味 觉 )， 并 把 这 些 过 程 发 给 大 脑 的 其 他 部 分 进行 处 理 。 


举 个 例子 ， 在 与 尼 尔 ' 法 伦 (Neil Fallon) 的 一 次 谈话 中 ， 这 位 Clutch 乐队 的 了 不 起 
的 主唱 告诉 我 ， 当 他 想 要 准备 一 场 演出 时 ， 他 会 拿 出 一 件 带 有 他 称 为 “演出 的 味道 ” 
的 衬衫 ( 我 不 会 去 探究 这 是 什么 意思 的 )。 当 他 穿 上 那 件 衬衫 ， 闻 到 那 种 味道 时 ， 他 
的 大 脑 就 进入 了 表演 的 状态 ， 就 像 是 打开 了 一 个 演出 模式 的 开关 一 样 。 





你 几乎 可 以 想象 那个 画面 : 尼 尔 穿 上 那 件 衬衫 ， 衬 衫 上 的 味道 进入 他 的 鼻子 里 ， 杏 仁 
核 开 始 处 理 这 种 刺激 。 于 是 杏仁 核 说 :“ 哦 ， 我 知道 这 种 味道 ， 我 该 分 刻 肾 上 腺 激素 
了 。” 接 着 血 流 开始 加 快 ， 刺 激 开始 蔓延 ， 尼 尔 准备 登场 。 
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图 2-8 杏仁 核 在 大 脑 中 的 位 置 
令 人 惊奇 的 是 ， 在 《社会 工程 卷 2: 解读 肌体 语言 》 一 书 中 引用 的 资料 表明 ， 禁 仁 
核 处 理 这 些 刺 激 比 大 脑 更 快 ， 因 此 它 会 触发 一 种 “自动 驾驶 ”的 感觉 ， 直 到 大 脑 反 
应 过 来 。 








2.4.1 杏仁 核 劫 持 


所 以 , 问题 来 了 : 除了 帮助 尼 尔 准 备 另 一 场 播 滚 表演 以 外 ， 查 仁 核 还 有 什么 作用 ? 如 
果 刺 激 带 来 的 是 四 惧 、 贪 焚 、 和 欲望 或 者 好 奇 会 怎样 ” 接 下 来 会 发 生 什么 ? 

















当 禁 仁 核 开 始 对 刺激 进行 处 理 时 ， 大 脑 会 紧 随 其 后 。 如 果 大 脑 在 变 得 活跃 时 能 够 平衡 
情感 与 理智 ,那么 一 切 都 会 顺利 进行 。 但 是 如 果 禁 仁 核 处 理 的 是 一 些 强 烈 的 感觉 和 情 
绪 ， 那 么 它 必须 从 其 他 地 方 获取 “力量 "， 即 大 脑 中 负责 理性 思考 的 部 分 。 

















从 本 质 上 来 说 ， 禁 仁 核 关 闭 了 理性 思维 中 心 。 当 大 脑 终 于 跟 上 禁 仁 核 处 理 的 进度 ,但 
理性 思维 中 心 还 未 开始 工作 时 , 谁 来 处 理 它 的 工作 呢 ? 没 错 , 答案 就 是 感性 思维 中 心 。 
你 上 次 纯粹 靠 情 感 来 做 决定 的 时 候 发 生 了 什么 ? 











这 里 有 一 个 我 自己 的 例子 。 少 年 时 期 ， 某 一 年 的 二 月 初 ， 我 刚 搬 到 南方 ， 并 被 邀请 参 
加 一 次 沙滩 聚会 。 因 为 我 是 从 北方 搬 过 来 的 ， 所 以 并 不 觉得 冷 。 即 使 气温 处 于 7 摄氏 
度 至 10 摄氏 度 ， 对 我 来 说 也 像 夏天 一 样 ,但 是 其 他 南方 人 都 觉得 很 冷 。 我 的 任务 是 
收集 木头 生火 。 
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随 着 木头 越 堆 越 高 ， 我 们 点 燃 了 木 堆 。 女 防 们 从 车 上 下 来 ， 围 到 火 堆 边 坐 下 。 男 孩 们 
都 去 水 里 嬉 闵 去 了 ， 而 我 继续 在 火 堆 边 拨弄 它 ， 对 一 个 15 岁 的 男孩 来 说 这 是 一 个 好 
位 置 。 














我 对 此 毫 无 怨言 , 直到 我 的 朋友 马 特 过 来 取暖 。 他 跑 到 他 的 车 那里 , 拿 了 一 块 冲浪 板 ， 
然后 把 它 扔 在 我 的 脚 边 。 他 说 :“ 你 想像 个 女生 一 样 坐 在 这 儿 ， 还 是 去 和 男生 们 一 起 
i)" 

















此 刻 ， 理 性 思维 可 能 会 像 下 面 这 样 运作 : 








(1) 现在 外 面 7 摄氏 度 ， 他 们 有 潜水 服 ， 而 我 只 穿着 短裤 和 T 恤 ; 

(2) 我 来 自 北 方 ， 很 少 去 海滩 ， 从 来 没有 玩 过 水 ; 

(3) 我 从 来 都 没有 冲 过 浪 ， 也 许 这 种 风浪 很 大 的 时 候 并 不 是 一 个 很 好 的 时 机 ; 
(4) 我 可 能 会 沁 水 ， 所 以 应 该 说 “不 ”。 











任何 曾经 是 15 岁 男孩 的 人 、 了 解 15 岁 男孩 的 人 ， 或 者 从 书 上 读 过 15 岁 男孩 的 心理 
的 人 都 可 能 会 猜 到 事情 并 非 如 此 。 我 当时 是 这 么 想 的 : 



































(1) 漂亮 女孩 们 都 在 火 堆 边 ， 我 应 该 下 在 那儿 ， 而 他 只 是 想 让 我 在 漂亮 女孩 面前 出 粮 ; 
(2) 我 需要 保存 我 自己 的 颜面 ， 让 女孩 们 看 看 我 男人 的 一 面 ; 
(3) 如 果 我 户 水 了 ， 那 么 至 少 死 得 很 酷 。 





于 是 我 抓 起 冲浪 板 跳 进 水 里 ,水 温 非常 低 ， 有 15 分 钟 左右 我 的 心脏 几乎 要 蹦 出 来 了 。 
jen EBRfSESIX), 觉得 自己 简直 已 经 游 到 了 墨西哥 , 结果 睁 开眼 时 发 现 离 岸 也 不 过 20 
英尺 远 。 当 我 打算 抛弃 冲浪 板 改 为 游泳 时 ， 膝 盖 触 碰 到 了 海底 。 我 感觉 很 旷 众 ， 因 为 
意识 到 自己 处 于 齐 膝 深 的 水 中 。 我 决定 在 水 中 站 立 起 来 , 但 是 随后 海浪 开始 把 我 和 冲 
浪 板 往 岸 边 推 。 不 幸 的 是 ， 虽然 我 人 游 了 回来 ,我 的 短裤 却 依 旧 还 在 离 海 岸 20 BER 
远 的 地 方 。 


























15 岁 的 我 瑟瑟 发 拌 、 赤 身 露 体 ,感觉 到 彻 骨 的 寒冷 ( 没 错 , 冰冷 的 海水 = 糟糕 ), 我 不 
得 不 在 女孩 们 的 指 指点 点 和 嘲笑 声 中 做 了 另 一 个 决定 。 





我 应 该 找 回 短裤 ， 带 着 羞愧 开车 回 家 ， 从 此 再 也 不 出 我 的 房间 吗 ? 不 ， 当 然 不 能 。 我 
决定 装 作 没 有 意识 到 我 的 短裤 被 冲 走 了 的 样子 ， 继 续 游泳。 
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这 一 决定 导致 我 又 遭受 了 20 多 分 钟 的 届 情 和 痛苦 。 我 几乎 溺死 在 水 里 ， 直 到 马 特 游 
过 来 ， 把 我 的 短裤 扔 给 我 ， 说 :“ 抓 住 我 的 裤 带 ,白痴 。 然后 他 拖 着 瑟瑟 发 拌 的 我 游 
E TEH, 


























女孩 们 都 在 笑 ， 所 有 人 都 在 笑 ， 当 我 试 着 在 不 沉 下 去 的 情况 下 穿 上 我 的 短裤 时 ， 我 几 
乎 要 溺死 了 。 我 确定 我 都 能 看 到 大 白 效 游 过 来 要 吃 了 我 。 痛 苦 、 灵 惧 、 征 的 …… 

















最 后 我 学 会 了 只 是 简单 地 趴 在 冲浪 板 上 ,不 让 它 从 我 身 下 疆 走 。 我 瑟瑟 发 拌 、 浑 身 发 
冷 而 且 焦头烂额 , 但 是 我 感觉 自己 似乎 是 一 个 真正 的 冲浪 者 。 然 而 沉浸 在 这 种 学 会 新 
东西 的 感觉 中 ， 我 并 没有 意识 到 自己 已 经 漂 远 了 。 我 听 到 人 们 大 喊 :“ 游 回来 ， 快 游 
回来 !” 
































我 转 过 身 ， 发 现 所 有 人 似乎 都 在 为 我 鼓掌 和 欢呼 ! 我 的 情绪 一 下 高 郧 了 起 来 : 这 是 一 
个 挽回 我 的 形象 的 机 会 。 打 向 我 的 浪 像 房子 一 样 大 有 关系 吗 ? 没关系 ! 我 仿佛 把 我 的 
生命 寄托 在 冲浪 板 上 面 一 样 ， 我 想象 着 海浪 会 把 我 托 起 ， 然 后 我 优雅 地 站 在 上 面 ， 仿 
佛 一 个 职业 冲浪 选手 一 样 。 但 实际 上 我 摔 倒 在 板子 上 ， 这 直接 导致 浪花 把 我 拍 在 了 沙 
WEE. 











HPI HA, MRITA. TERE EH, AIR AERA BTR 
的 腿 从 背后 弯 过 来 压 在 我 的 头 上 ,我 忽然 在 想 :“ 等 等 ， 我 不 应 该 这 样 摔 倒 的 。 在 我 
像 个 轮胎 般 在 沙滩 上 打 了 几 个 深 之 后 , 我 总 算 停 了 下 来 ,短裤 再 一 次 从 我 身上 滑 了 下 
来 ， 而 冲浪 板 碎 成 了 至 少 10 片 。 








我 记得 我 当时 趴 在 沙 地 上 ， 感 激 于 我 还 活着 。 随 后 我 的 思绪 被 笑 声 打 断 ， 抬 头 一 看 ， 
我 正巧 落 在 了 漂亮 女孩 们 的 面前 ， 那 一 慕 真是 漫长 而 讨厌 。 




















马 特 又 一 次 过 来 营救 我 ， 他 从 我 身边 走 过 ， 把 我 的 短裤 扔 到 我 凑 上 ， 说 :“ 你 从 我 冲 
浪 板 的 75 美元 。” 





我 回 家 调理 疗伤 , 这 件 事 最 终 以 我 得 了 肺炎 并 扭伤 了 手臂 而 告终 ， 当 然 还 伴随 着 那 段 
抹 不 掉 的 屈辱 回忆 。 

为 什么 我 要 告诉 你 们 我 屈辱 的 过 去 ? 这 看 起 来 似乎 和 钓鱼 攻击 没什么 关系 。 事 实 上 ， 
它 包 含 了 钓鱼 攻击 的 一 切 要 素 。 
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在 我 的 那 次 冒险 中 ,每 次 随 着 所 遇 到 的 刺激 的 增强 ， 所 激发 的 情绪 也 随 之 增强 ， 与 此 
同时 我 也 面临 选择 。 而 面临 选择 时 ， 我 做 的 决定 一 次 比 一 次 糟糕 。 我 的 杏仁 核 被 支持 
T, 我 的 理性 中 心 完全 关闭 了 , 我 做 出 理性 决策 的 能 力 被 一 种 挽回 个 人 形象 的 欲望 所 
代替 。 











当 你 收 到 一 封 钓鱼 邮件 时 ， 它 触发 了 你 的 恕 惧 、 贪 焚 、 和 欲望 或 者 好 奇 的 情绪 ， 你 的 大 
脑 随 之 停止 处 理 你 的 理性 思维 中 心 传 来 的 信息 ， 例 如 “ 别 点 那个 链接 ” "我 应 该 把 这 
封 邮件 报告 给 管理 者 ”或 者 “我 不 认识 任何 叫 Abu Abu Ali Abu 的 王子 ,并且 他 也 没 
有 理由 会 给 我 4000 万 美元 "。 如 果 一 封 邮件 写 得 很 有 技巧 ,那么 它 确实 会 引起 你 的 情 
绪 波 动 并 使 你 失去 理智 ， 于 是 你 做 出 了 情绪 化 的 决定 。 


























这 一 切 会 导致 我 们 彻底 暴露 并 处 于 黎 众 的 境地 ， 并 会 使 我 们 蒙受 巨大 的 损失 。 当 然 ， 
我 想象 不 出 什么 点 击 邮 件 后 可 能 会 导致 你 丢失 短裤 的 情况 ， 但 是 你 应 该 明白 我 的 意 
AY. 









































当 奋 仁 核 被 劫持 时 ， 你 停止 了 理性 思考 ,开始 仅 赁 情绪 来 做 出 决定 ， 而 这 通常 是 一 种 
最 糟糕 的 决策 方式 。 






































2.4.2 ”控制 杏仁 核 





如 果 上 面 所 说 的 一 切 都 是 大 脑 自动 化 的 过 程 , 那 该 怎么 办 ? 我 们 还 有 办 法 控制 杏仁 核 
nj? 








答案 是 : d EC VAM. (LE RTA), AME A EAGLE, RPS 
持 是 快速 的 , 会 被 强烈 的 情绪 刺激 所 延长 。 然 而 如 果 你 停 下 来 , 休息 一 会 儿 再 做 决定 ， 
那么 你 会 感觉 到 重新 获得 了 控制 权 。 
































有 一 种 情况 (或 者 类 似 的 情况 ) 你 可 能 遇 到 过 。 我 曾经 在 一 个 小 组 里 工作 ， 有 很 多 人 
都 在 同一 个 电子 邮件 列表 内 ， 在 决定 如 何 处 理 某 一 问题 时 ， 大 家 都 是 通过 邮件 列表 进 


行 交 流 的 。 


















































乔 和 萨 拉 之 间 总 是 起 冲突 ,不 过 平时 他 们 表现 得 很 专业 。 随 着 邮件 列表 变 长 ， 有 一 次 
乔 把 萨 拉 从 邮件 列表 中 移 除 了 ， 然 后 对 我 们 中 的 几 个 人 说 :“ 她 以 为 自己 是 谁 ? 她 只 
是 一 个 无 能 的 黑洞 。 






































46 | 2 决策 背后 的 心理 学 原则 














我 们 中 有 人 开玩笑 道 :“ 乔 ， 你 发 那 封 邮件 时 忘记 把 萨 拉 从 邮件 列表 里 移出 去 了 。 




















乔 吓 坏 了 , 他 并 没有 去 验证 这 一 说 法 是 和 否 属 实 , 而 是 立刻 给 萨 拉 和 我 们 发 了 一 封 邮件 ， 
公开 道 菊 说 :“ 萨 拉 ,， 我 之 前 说 你 是 个 无 能 的 黑洞 ， 这 是 违反 职业 道德 旦 毫 无 根据 的 。 
我 知道 我 们 并 非 总 是 意见 一 致 ， 我 的 评价 确实 太 无 礼 了 ， 我 向 你 道 猴 。 
























































当 我 们 收 到 这 封 道歉 的 邮件 时 ， 我 们 意识 到 玩笑 开 大 了 。 有 人 立刻 又 写 了 一 封 邮件 : 
“ 乔 ， 那 只 是 一 个 玩笑 。 你 应 该 先 查 看 一 下 邮件 列表 的 。 








然而 在 这 封 邮件 发 出 去 之 前 ， 萨 拉 回 复 了 :“ 乔 ， 鉴 于 你 承认 了 你 的 错误 ,我 会 原谅 
你 ， 但 是 我 不 确定 人 事 经 理 是 否 也 会 这 样 ， 相 信 你 会 享受 周末 的 沟通 课程 的 。 


























乔 迅 速 地 读 完了 邮件 ， 发 现 自 己 被 戏弄 了 。 他 对 此 非常 生气 ， 并 回复 说 :“ 你 们 两 个 
策 蛋 死 定 了 ， 你 们 让 我 向 那个 虚荣 的 、 无 能 的 黑洞 道 了 歉 ， 然 而 她 确实 对 得 起 我 的 每 
一 句 评 价 。 这 次 我 闹 出 了 笑话 ， 但 是 下 次 就 轮 到 你 们 了 。 看 荚 拉 怎么 对 付 你 们 。” 






































他 点 击 了 发 送 ,但 这 次 他 确实 忘记 把 萨 拉 从 邮件 列表 中 去 掉 了 。 这 就 是 杏仁 核 劫 持 导 
致 的 最 坏 的 结果 。 乔 每 次 都 被 情绪 所 控制 ， 这 导致 他 处 于 非常 寸 欣 的 境地 。 





如 果 乔 花 30 秒 的 时 间 停 下 来 检查 一 下 他 发 送 的 邮件 ,他 可 能 就 会 看 穿 之 前 的 恶作剧 , 
然后 一 笑 了 之 。 但 现在 他 要 花 上 几 天 时 间 和 人 事 经 理 谈 话 ， 并 且 给 萨 拉 和 所 有 小 组 成 
员 写 一 封 正式 的 道歉 信 。 





























你 想 要 控制 杏仁 核 吗 ? 当 你 阅读 电子 邮件 时 ， 如 果 你 感到 恕 惧 、 慎 钨 、 充 满 欲 望 或 者 
强烈 好 奇 ， 那 就 花 30 秒 的 时 间 停 下 来 想 想 ， 在 点 击 链接 、 回 复 邮 件 以 及 任何 其 他 动 
作 之 前 应 该 采取 的 验证 措施 。 


























当然 ， 钩 鱼 攻击 者 并 不 知道 他 们 正 试图 支持 你 的 杏仁 核 ， 但 是 他 们 的 确 知道 : 如 果 
够 激 起 你 的 情绪 波动 ,那么 他 们 就 能 让 你 采取 一 些 “ 不 符合 你 的 根本 利益 的 行动 ”， 
这 就 是 社会 工程 学 的 关键 所 在 。 


kh 
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2.5 清洗、 漂洗、 重复 
本 章 包 含 了 很 多 信息 ， 但 是 我 们 并 不 期 望 你 成 为 一 个 只 会 “纸上谈兵 ”的 心理 学 家 。 
我 们 希望 本 章 可 以 帮助 你 理解 基础 决策 以 及 影响 决策 的 因素 。 你 会 用 所 有 这 些 知 识 来 
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重新 设计 你 的 决策 制定 方案 ， 使 你 在 家 中 和 在 工作 中 更 安全 吗 ” 理想 情况 下 ， 是 的 。 
但 是 哪怕 你 只 是 从 本 章 中 收获 了 一 点 点 ， 并 思考 自己 的 反应 和 决策 ， 我 和 到 里 斯 也 会 
感到 很 高 兴 。 记 住 : 情绪 反应 是 正常 的 ， 你 要 做 的 只 是 调整 一 下 ， 这 样 你 就 可 以 避免 
一 些 日 后 会 让 你 后 悔 的 行为 。 














本 章 要 说 的 最 后 一 点 是 : 决策 应 该 是 一 个 周期 性 的 过 程 。 我 和 克 里 斯 已 经 分 享 了 很 多 故 
SR, 这 些 故事 谈 到 了 一 些 “ 欠 佳 ” 的 决策 。 我 斗 胆 猜 测 你 们 中 大 多 数 人 可 以 体会 那 种 感 
觉 。 随 着 我 们 经 验 ( 和 年 龄 ) 的 增长 ,我们 应 该 能 通过 自身 的 经 历 和 其 他 人 的 决策 来 学 
Jo 下面 5 步 (ILA 2-9) 可 以 帮助 你 反省 自己 的 决策 ,使 得 你 不 会 再 犯 同样 的 错误 。 





(1) 确保 正确 地 理解 问题 。 你 知道 应 该 如 何 定义 一 个 好 的 决策 而 不 是 一 个 感觉 好 的 决策 
吗 ? 你 是 否 了 解 所 有 关于 该 决策 的 信息 ?是 否 需 要 考虑 其 他 人 的 意见 ?之 前 是 否 
有 过 类 似 的 情况 ? 如 果 有 的 话 ， 你 之 前 所 做 的 决定 的 结果 如 何 ? 

(2) 尽 可 能 完整 地 收集 信息 。 是否 有 任何 偏见 或 个 人 感觉 会 影响 你 对 信息 的 理解 ”你 是 
否 受 其 他 人 影响 ?你 应 该 受 他 们 影响 吗 ? 

(3) 考虑 切实 可 行 的 选项 。 是否 有 和 看待 这 一 问题 的 不 同方 式 ? 是否 有 其 他 选择 ?可 能 的 
结果 会 是 什么 ? 

(4) 做 出 决策 。 注 意 这 是 第 (4) 步 而 不 是 第 (1) 步 。 

(5) 评估 效果 。 决策 是 否 达 到 了 你 的 期 望 ” 为 什么 达到 或 者 为 什么 没有 ?你 可 以 从 中 学 


到 什么 ? 


图 2-9 基础 决策 模型 
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显然 , 并 不 是 (或 者 说 不 应 该 ) 每 次 在 选择 吃 切 达 干酪 还 是 瑞士 干酪 时 ,你 都 这 么 做 。 


























但 是 如 果 你 养 成 了 对 于 重大 决策 的 思考 习惯 





， 那 么 整个 过 程 就 会 根深 蒂 固 ， 变 成 一 种 





习惯 ， 而 非 一 个 每 次 都 要 考虑 的 大 问题 。 在 行动 前 多 花 一 分 钟 想 想 吧 。 就 说 这 么 多 。 


2.6 总 结 























我 希望 这 是 增长 见闻 且 富 有 趣味 性 的 一 章 , 但 是 这 只 是 其 一 。 本 章 从 决策 制定 者 一 一 








那个 选择 纸 而 非 塑 料 ， 或 者 巧克力 而 非 覆 盆子 的 人 一 一 的 视角 出 发 ， 同 时 也 告诉 大 家 








收 到 来 自 陌 生 人 的 邮件 时 应 该 保持 警惕 。 




















第 3 章 将 从 编写 钓鱼 攻击 邮件 的 人 的 视角 出 发 来 讨论 决策 问题 。 他 们 使 用 什么 工具 ? 


他 们 如 何 激 起 人 们 强烈 的 情绪 反应 ? 


作为 社会 工程 人 员 ， 我 和 克 里 斯 需要 理解 影 








站 与 操控 的 过 程 以 帮助 客户 抵御 攻击 。 所 





以 让 我 们 来 把 镜头 转 一 下 ， 看 看 帷幕 背后 的 男人 (或 女人 ) 吧 。 
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“这 不 是 你 要 找 的 机 器 人 。” 
一 一 欧 比 旺 . 肯 诺 比 (Obi-Wan Kenobi), 
《星球 大 战 4: 新 希望 》 

















讨论 社会 工程 时 不 能 不 提 到 影响 与 操控 。 对 于 所 有 的 意图 和 目的 而 言 ， 它 们 是 第 2 章 
中 所 讨论 的 决策 的 催化 剂 。 正 如 我 们 所 发 现 的 ， 人 们 做 事 有 很 多 缘由 ,但 是 优秀 的 社 
会 工程 人 员 对 此 足够 了 解 ， 因 此 可 以 引导 人 们 做 出 决策 。 





























让 我 们 从 定义 开始 。 克 里 斯 在 他 的 第 一 本 书 《 社 会 工程 : 安全 体系 中 的 人 性 漏洞 "中 ， 
把 影响 定义 为 “让 某 人 像 你 所 希望 的 那样 行动 、 反 应 、 思 考 或 者 信任 ”。 操 控 和 影响 
类 似 , 但 是 它 主要 用 于 不 怀 好 意 的 情况 ， 几 乎 总 是 符合 操纵 者 的 最 佳 利益 。 
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在 深入 这 个 有 趣 的 领域 之 前 ， 我 想 提 一 件 事 。 我 和 克 里 斯 明 确 区 分 了 所 谓 的 影响 
(influence ) 和 操控 (manipulation )。 显 然 ， 二 者 很 相似 ， 你 可 能 也 听 过 人 们 互 换 使 用 
这 两 个 词 。 二 者 都 是 指 一 个 人 采取 了 对 另 一 个 人 生效 的 行为 。 但 是 它们 给 人 的 感觉 不 
同 ， 不 是 吗 ? 你 可 能 听 过 某 人 产生 了 “ 坏 的 影响 ”， 但 是 你 听 过 有 人 用 “好 的 操控 ” 


























DO 该 书 已 经 由 人 民 邮 电 出 版 社 出 版 ， 书 号 9787115335388。 一 一 编者 注 
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这 种 表述 吗 ? 尽管 二 者 都 会 导致 某 种 看 起 来 相同 的 决策 、 行 为 或 者 其 他 结果 , 但 二 者 
得 到 结果 的 方式 以 及 目标 的 感觉 是 完全 不 同 的 。 




















在 这 个 层面 上 ,我 认为 影响 和 操控 分 属于 两 个 极端 。 影响 显然 是 积极 的 ， 例 如 给 家 庭 
成 员 提 供 建议 , 帮助 他 做 出 健康 饮食 的 选择 。 操 控 则 是 消极 的 ,例如 由 于 担心 个 人 安 
全 受到 威胁 而 泄露 信息 。 二 者 之 间 还 有 很 多 难以 界定 的 情况 ， 因 为 很 多 交互 既 有 积极 
的 方面 又 有 消极 的 方面 。 无 疑 ， 影 响 制造 了 紧张 情绪 ， 或 者 说 是 行动 的 必要 ， 否 则 人 
们 就 没有 改变 行为 的 动机 。 因 此 ， 要 知道 影响 和 操控 之 间 的 界线 并 不 是 一 个 点 ， 而 是 
很 大 一 片 灰色 区 域 ， 并 且 通 常 因 个 人 解读 的 不 同 而 有 所 差异 。 




















图 3-1 提供 了 一 个 影响 与 操控 的 可 视 化 的 例子 。 图 中 添加 了 一 些 实现 影响 与 操控 的 示 
例 方 法 ,我 会 在 本 章 稍 后 对 它们 展开 论述 。 运 用 前 面 的 定义 , 很 容易 理解 为 什么 把 指 
导 归 为 影响 ， 而 把 威胁 归 为 操控 。 但 是 影响 和 操控 中 间 仍 有 很 大 一 片 待定 区 域 。 像 所 
有 其 他 的 例子 一 样 ， 具 体 情况 很 大 程度 上 取决 于 社会 工程 人 员 所 做 出 的 选择 。 
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图 3-1 影响 与 操控 











请 求 帮助 可 以 是 一 种 强 有 力 的 影响 形式 或 者 一 种 高 明 的 操控 。 通过 寻求 帮助 而 进入 安 
全 机 构 是 一 回 事 , 谎 称 自己 的 孩子 生病 而 向 人 乞讨 则 是 男 一 回 事 , 并 且 我 认为 大 多 数 
人 会 同意 这 种 区 别 。 这 种 区 别 重 要 吗 ? 当然 ， 这 取决 于 你 的 目标 是 什么 。 















































3.1 为 什么 这 种 区 别 很 重要 


我 和 克 里 斯 为 客户 提供 专业 的 社会 工程 服务 和 培训 。 这 些 客户 在 意 的 是 他 们 公司 的 安 
全 以 及 员工 的 发 展 。 从 实用 的 角度 来 说 ,与 应 对 人 员 流 动 和 重新 培训 相 比 ， 在 已 有 员 
工 身上 进行 投资 是 一 种 更 好 的 金融 决策 。 因 此 ,公司 不 希望 他 们 的 员工 因 被 骗 而 导致 
泄露 信息 ， 或 者 因 点 击 了 一 个 钓鱼 网 站 链接 而 感到 诅 丧 。 他 们 知道 让 员工 积极 地 参与 
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到 公司 安全 工作 中 的 重要 性 。 当 员工 对 自己 在 这 方面 的 测试 、 培 训 和 能 力 提升 感到 乐 
观 时 ， 他 们 就 更 愿意 参与 其 中 。 正 如 克 里 斯 所 言 :“ 总 是 要 让 一 个 人 因为 遇 到 你 而 感 
觉 更 好 。” 














你 能 想象 收 到 图 3-2 中 的 邮件 ,然后 发 现 这 是 一 个 经 过 你 们 公司 同意 的 钓鱼 活动 吗 ?" 
发 件 人 显然 不 能 用 这 封 邮件 结交 任何 朋友 。 这 是 FBI 报 告 的 一 个 真实 的 电子 邮件 诈骗 
事件 。” 当 收 件 人 试图 跟 进 时 ， 会 收 到 更 多 的 威胁 和 恶 吓 的 信息 。 
































WHAT YOU WILL DO NOW IS TO TELL ME THAT YOURE READY TO MAKE MY 
ADVANCE PAYMENT OF $20K THEN I WILL PROVIDE YOU THE ACCOUNT OF 
WHERE YOU WILL NEED TO SWIFT THE MONEY, AFTER THAT I WILL THEN 
ARRANGE A MEETING WITH YOU AND GIVE YOU ALL THE INFORMATION YOU 
NEEDED AS A PROVE,ABOUT THE PERSON THAT IS PLANNING TO KILL YOU, 
WHICH YOU MAY TAKE AS YOUR FRIEND. AFTER THIS] WILL LEAVE THE STATE 
BECAUSE THE PERSON WILL SEND SOME MEN AFTER MY LIFE. 


TELL ME NOW ARE YOU READY TO DO WHAT I SAID OR DO YOU WANT ME TO 
PROCEED WITH MY JOB? ANSWER YES/NO AND DON'T ASK ANY QUESTIONS!!! 








图 3-2 通过 威胁 使 人 服从 


毫 无 疑问 ， 当 人 们 发 现 自己 采取 的 行动 居然 是 社会 工程 人 员 施 加 影响 的 结果 时 ， 难 免 
ZEN Jo AE. (EEN D TY H AE RT TT BOAR T 
某 项 行动 , 那么 对 于 公司 来 说 情况 可 能 会 更 粳 或 者 更 难 应 对 。 这 种 环境 并 不 利于 学 习 。 
可 以 想象 , 这 对 于 一 位 想 要 对 公司 有 所 贡献 的 员工 来 说 是 多 么 沉重 的 打击 。 这 就 是 我 
们 要 强调 影响 和 操控 之 间 的 区 别 的 原因 。 强 调 这 一 区 别 并 不 只 是 因为 我 们 很 善良 友 
好 。 我 们 也 是 教育 者 ， 知 道明 确 这 一 区 别 会 让 这 方面 的 教育 和 培训 步 和 人 正轨 。 






































3.2 ”如何 找 出 区 别 
区 分 影响 和 操控 对 我 们 而 言 很 有 意义 ， 希 望 对 你 而 言 也 是 如 此 。 我 会 首先 承认 ， 其 中 
的 灰色 区 域 很 复杂 微妙 。 因 此 ， 下 面 几 节 将 会 探讨 一 些 问题 ， 当 你 准备 好 进行 社会 工 
程 训练 时 可 以 先 问 问 自己 。 























(D 图 中 文字 大 意 :“ 你 现在 要 做 的 是 准备 好 两 万 美元 的 订金 ， 然 后 我 会 把 转账 账号 告诉 你 ， 接 下 来 我 
会 和 你 见面 ， 然 后 把 要 杀 你 的 那个 人 的 信息 告诉 你 ， 你 之 前 可 能 还 一 直 把 那个 人 当 朋 友 。 最 后 我 会 
离开 这 个 州 ， 因 为 那个 要 杀 你 的 人 可 能 会 派 人 来 追 杀 我 。 一 一 译 者 注 

(2) Federal Bureau of Investigation, “Online Extortion: E-Mail Scam Includes Hit-Man Threat,” FBI News 
Stories, January 15, 2007, http://www.fbi.gov/news/stories/2007/january/threatscam_111507. 
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3.2.1 ”如 何 与 目标 建立 融洽 的 关系 


在 一 些 资料 里 ， 融 洽 的 关系 (rapport) 的 定义 元 长 且 复 杂 。 它 很 容易 理解 和 辨别 ， 但 
想 用 一 个 简洁 的 句子 来 定义 却 有 点 难 。 它 大 臻 上 是 指 和 男 一 个 人 建立 关系 ， 其 中 包括 
相互 喜欢 以 及 相处 感到 舒适 等 要 素 。 建 立 融洽 的 关系 是 成 功 的 社会 工程 人 员 为 了 提高 
效率 而 必须 快速 培养 的 技能 。 融 洽 的 关系 是 施加 影响 的 一 个 必要 条 件 。 当 你 建立 了 融 
洽 的 关系 后 ， 人 们 会 答应 你 的 请 求 ， 因 为 他 们 喜欢 你 ， 可 以 感觉 到 你 们 之 间 的 联系 ， 
并 且 想 要 帮助 你 。 
































对 利用 操控 的 人 来 说 ， 建 立 融洽 的 关系 是 不 太 可 能 的 ， 也 不 是 必要 的 。 一 个 想 要 威胁 
别人 的 人 很 可 能 并 不 在 乎 与 目标 建立 某 种 联系 。 实 际 上 ， 操 挖 者 与 目标 之 间 的 联系 越 
少 越 好 。 坦 白 来 说 ， 对 大 多 数 人 而 言 ， 对 一 个 与 他 们 有 私交 的 人 运用 操控 手段 是 很 困 
难 的 。 








3.2.2 ” 当 目 标 发 现 自 己 被 测试 时 ， 感 觉 如 何 


我 心里 住 着 的 顾问 总 是 想 问 这 个 问题 :“ 你 点 击 了 我 的 钓鱼 邮件 ， 你 感觉 如 何 ”” 正 
如 之 前 所 讨论 的 ,感到 尴 众 甚至 愤怒 仍然 可 以 有 教育 效果 。 你 已 经 把 挑战 置 于 目标 面 
前 ， 然 而 他 们 的 表现 令 人 失望 ， 而 这 可 能 最 终 导致 他 们 或 他 们 的 公司 面临 威胁 。 但 是 
如 果 你 后 续 提 供 为 下 一 次 获得 成 功 所 需 的 信息 , 那么 就 可 以 创造 出 一 个 基于 学 习 的 环 
境 , 希望 随 着 时 间 的 推移 , 你 能 创造 出 一 种 公司 文化 , 员工 不 会 因为 中 招 而 感到 乾 粹 ， 
而 是 期 待 下 一 次 培训 的 到 来 。 我 们 曾 见 证 过 某 些 公司 的 成 功 。 



































男 一 方面 , 如 果 你 通过 一 些 方法 来 激 起 恶 惧 、 愤 低 、 糊 愧 或 无 助 的 感受 来 使 人 们 服从 ， 
那么 随 之 而 来 的 抵抗 的 洪流 极 有 可 能 让 你 错失 教育 机 会 。 人 们 会 记得 你 给 他 们 带 来 的 
感受 而 不 是 经 验 教 训 。 





3.2.3 测试 的 意图 是 什么 


我 并 非 在 讨论 炫 漆 给 客户 的 那 一 套 直 截 了 当 、 结 论 漂亮 的 玩意 儿 。 我 在 讨论 你 自己 的 
意图 和 你 的 个 人 需求 。 你 真 的 关心 你 的 机 构 是 否 在 学 习 或 者 提升 吗 ? 或 者 你 只 是 想 要 
一 种 赢家 的 感觉 , 因为 你 让 人 们 做 了 一 些 他 们 不 该 做 的 事 吗 ? 这 是 一 个 你 需要 自己 回 
答 的 私人 问题 。 我 们 大 多 数 人 喜欢 获胜 的 感觉 ， 而 有 时 候 社 会 工程 协议 可 以 让 人 感觉 
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像 一 场 游戏 一 样 。 


洱 运 的 是 ， 有 很 多 机 会 你 能 获胜 ， 同 时 很 好 地 为 你 的 公司 服务 。 但 是 总 会 有 那么 一 个 
时 期 ， 你 没有 获得 任何 进展 ， 内 心 也 开始 产生 挫败 感 。 你 也 可 能 会 感到 焦虑 ， 党 得 必 
须 做 点 什么 才 对 得 起 公司 管理 人 员 付 给 你 的 钱 。 那 时 你 不 得 不 开始 真正 反思 你 的 选择 
和 动机 ， 因 为 此 时 使 用 操控 手段 的 诱惑 非常 大 。 不 过 通常 来 说 ， 如 果 你 真 的 把 公司 的 
利益 放 在 心 上 ， 那 么 你 会 做 出 明智 的 决定 的 。 























3.8 操控: 来 者 不 善 


有 一 个 我 们 经 常会 遇 到 的 问题 或 者 评论 ， 那 就 是 为 什么 我 们 不 使 用 操控 。 毕 竟 坏 人 总 
是 会 这 么 做 。 这 是 一 个 法 律 问题 。 坏 人 想 要 获胜 ， 他 们 不 在 乎 受害 者 ， 也 不 关心 教育 
效果 。 坦 日 来 说 ,操控 更 有 效 也 更 容易 。 然 而 ,除了 在 专业 环境 下 更 具有 破坏 性 而 非 
实用 性 以 外 ,使 用 操控 也 不 是 长 久之 计 。 



































在 经 历 操 控 后 ， 人 们 不 大 可 能 再 次 听从 你 的 请 求 。 这 一 结果 可 能 是 可 以 接受 的 或 者 求 
之 不 得 的 ， 这 取决 于 你 的 工作 和 你 的 目标 。 但 是 在 公司 安全 以 及 专业 合作 的 世界 里 ， 
这 并 不 是 一 个 最 理想 的 选择 ， 因 为 你 寻求 的 是 建立 长 期 合作 关系 。 
































我 同意 在 测试 和 教育 中 不 敢 越 雷池 一 步 是 不 现实 的 , 但 是 也 不 需要 跳 进 火山 口才 知道 
它 真 的 很 溪 。 公 司 安全 目标 可 以 在 不 诉 诸 怒 吓 或 者 激怒 员工 的 基础 上 完成 。 一 位 专业 
的 信息 安全 工程 人 员 所 提供 的 体验 可 以 在 富有 挑战 性 的 同时 不 造成 伤害 。 
























































让 我 们 来 谈 谈 图 3-1 中 展示 的 一 些 例子 吧 , 其 中 一 个 总 是 能 抓 住人 们 注意 力 的 是 炊 骗 。 
人 们 对 欺骗 有 某 种 看 法 ， 而 这 种 看 法 肯定 是 负面 的 。 显 然 ， 如 果 有 人 对 你 喊 “ 你 是 个 
骗子 "， 他 绝对 不 是 在 恭维 你 。 























虽然 大 多 数 人 想 要 机 械 地 把 伦理 道德 与 此 关联 起 来 , 但 是 我 认为 这 是 有 问题 的 。 问 题 
的 性 质 并 不 取决 于 你 是 否 把 欺骗 用 于 社会 工程 协议 的 一 部 分 。 你 肯定 会 在 社会 工程 协 
议 中 多 少 使 用 一 些 。 


对 我 来 说， 这 个 问题 的 性 质 取决 于 意图 和 动机 。 如 果 我 的 丈夫 已 经 吃 了 两 包 糖 果 和 半 
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包 曲 奇 饼 干 ， 我 会 告诉 他 我 们 已 经 没有 任何 米饭 布丁 了 ， 而 事实 上 我 把 它 藏 起 来 了 ， 
我 说 谎 是 出 于 对 他 的 健康 的 关心 。 另 一 方面 ,撒谎 并 把 米饭 布丁 藏 起 来 ,我 就 可 以 自 
己 独 否 了 …… 如 果 这 么 想 ， 那 就 太 自 私 了 。 注 意 ， 在 这 个 例子 中 虽然 我 的 行为 和 导致 
的 结果 相同 ， 但 是 动机 不 同 ， 我 的 丈夫 在 发 现 真相 后 的 感受 也 会 截然 不 同 。( 顺便 说 
一 句 ， 米 饭 布 丁 真 美味。) 



































撒谎 的 名 声 并 不 好 ， 但 是 无 疑 我 们 都 这 么 做 ， 或 多 或 少 。 我 们 是 社会 动物 ， 在 群体 中 
生活 就 意味 着 要 知道 自己 该 说 什么 (或 者 不 该 说 什么 )。 想 想 如 果 你 完全 坦诚 地 说 出 




















你 的 见解 一 一 包括 你 朋友 的 穿着 打扮 、 你 母亲 对 家 具 的 品味 , 或 者 你 的 男 一 半 的 健康 
水 平一 一 你 的 人 际 关 系 会 如 何 。 真 相 会 伤 人 。 





人 类 和 其 他 物种 似乎 有 着 天 生 的 欺骗 的 倾向 。 有 很 多 有 趣 的 研究 表明 ,婴儿 在 没有 语 
言 表达 能 力 前 就 有 这 种 能 力 。 你 们 中 如 果 有 人 已 为 人 父母 的 话 ， 就 可 以 证 实 这 一 点 。 
来 自 朴 次 茅 斯 大 学 的 瓦 苏 德 威 ， 雷 迪 博 士 发 现 婴 儿 能 讲话 之 前 一 一 或 者 ， 更 重要 的 ， 
有 能 力 理解 “实话 ”这 个 概念 前 一 一 就 有 了 欺骗 他 人 的 能 力 。” 





















































我 清楚 地 记得 我 弟弟 在 还 是 个 婴儿 时 就 会 “ 假 哭 ”"。 他 并 不 饿 或 者 感觉 不 适 ， 也 不 需 
要 换 尿布 。 但 是 他 会 不 时 在 围栏 里 站 起 来 ， 发 出 缺乏 热情 的 “哇哇 ……? ” 声 ,接着 
他 会 四 处 看 看 有 谁 听 到 了 。 这 并 不 是 一 个 很 复杂 的 把 戏 , 但 是 他 确实 得 到 了 一 些 注意 。 
我 们 从 小 就 开始 寻求 机 会 参与 到 社交 活动 中 。 像 其 他 有 机 体 一 样 ， 如 果菜 一 行为 模式 
得 到 强化 ,那么 我 们 会 继续 这 么 做 。 欺 骗 是 一 种 社交 行为 的 适应 性 形式 ， 没 有 必要 总 
是 把 它 想 得 那 么 负面 。 


















































3.5 惩罚 与 操控 


图 3-1 中 的 另 一 个 例子 是 惩罚 。 在 行为 心理 学 中 ， 惩 罚 被 定义 为 会 降低 某 个 行为 再 次 
发 生 的 概率 的 某 种 后 果 。 例 如 ， 因 为 孩子 撒谎 而 惩罚 孩子 。 

















为 了 本 书 的 目的 ,我 将 要 讨论 的 是 成 年 人 之 间 的 具有 某 种 操控 效力 的 惩罚 。 因 此 , 我 
并 没有 指责 父母 对 孩子 进行 操控 ， 这 是 完全 不 同 的 两 回 事 。 














(D Richard Gray, “Babies Not as Innocent as They Pretend,” The Telegraph website, July 1, 2007, http://www. 


telegraph.co.uk/science/science-news/3298979/Babies-not-as-innocent-as-they-pretend. html. 


邮 





3.5 惩罚 与 操控 | 55 








在 社会 工程 学 中 ， 答 罚 是 一 种 成 年 人 间 的 相互 作用 ， 其 目的 是 通过 负面 的 结果 来 迫 
使 目标 采取 你 所 期 望 的 行为 。 表 面 的 目标 和 实际 的 目标 之 间 还 是 有 所 区 别 的 。 惩 罚 
的 有 趣 之 处 在 于 它 是 一 种 针对 某 人 的 直接 行为 ， 但 是 其 效果 常常 是 控制 并 决定 另 一 
个 人 的 行为 。 通 过 惩罚 来 改变 某 个 成 年 人 的 行为 是 完全 可 能 的 ， 但 这 并 不 是 高 明 的 
暗中 操纵 ， 它 只 是 简单 的 能 产生 某 个 后 果 的 行为 。 你 对 我 大 喊 大 叫 ， 我 给 你 一 拳 ， 
于 是 你 不 再 叫 了 。 

























































































通过 惩罚 来 实施 的 操控 可 以 像 催化 剂 一 样 激发 人 们 的 行动 , 或 者 通过 引发 其 他 强烈 的 
情绪 来 迫使 人 们 采取 行动 ， 如 图 3-3 所 示 。 当 惩罚 在 公众 场合 实施 时 ， 惩 罚 者 创造 了 
一 群 目击 者 正 在 等 待 结果 的 感觉 。 根 据 每 个 人 各 自 的 不 同情 况 ， 他 们 可 能 会 表现 出 恐 
惧 、 人 慎 翁 或 者 同情 等 情绪 。 














ER- 
ML 








图 3-3 惩罚 作为 一 种 操控 手段 








无 疑 会 有 人 漠视 或 者 回避 惩罚 。 但 是 如 果 和 您 罚 足 够 严重 ,还 是 会 得 到 回应 。 这 正 是 一 
个 恶意 攻击 者 所 寻求 和 试图 控制 的 。 











想象 一 下 你 走 进 公司 的 食 熏 ， 看见 一 个 男人 正在 对 一 个 哭泣 的 女 员 工 口 出 恶 言 。( 她 
可 能 看 起 来 像 图 3-4 中 的 女士 。) 在 那个 男人 停止 辱骂 后 , 受害 者 含 泪 向 你 求助 说 她 的 
老板 威胁 解雇 她 ， 因 为 她 把 胸 牌 忘 在 家 里 了 。 她 需要 去 这 栋 大 楼 的 行政 处 补办 胸 牌 ， 
你 愿意 帮忙 吗 ? 














你 可 能 十 分 机 警 地 带 她 先 走 一 遍 所 有 的 安全 检查 程序 , 或 者 你 可 能 对 于 所 看 到 的 一 切 
感到 十 分 生气 ， 然 后 直接 带 她 去 补办 胸 牌 。 这 就 是 操控 。 
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图 3-4 ”你 会 帮助 这 位 女士 吗 


3.6 ”影响 的 原则 


既然 你 已 经 对 影响 和 操控 的 区 别 有 了 初步 的 了 解 ,那么 是 时 候 花 些 时 间 来 深入 理解 有 影 
响 , 看 看 如 何以 及 为 何其 中 一 些 因素 能 够 奏效 。 有 很 多 人 在 影响 的 研究 领域 取得 了 杰 
出 的 研究 成 果 ， 包 括 罗 伯 特 ' 恰 尔 带 博士 、 艾 伦 . 科恩 博士 和 戴 维 ' 布 拉 德 福 德 
博士 。 请 和 我 一 起 回顾 他 们 所 做 的 工作 。 





说 明 如 果 想 要 阅读 更 多 关于 影响 的 研究 ， 试 试 下 面 这 些 资 源 。 

QO) Robert Cialdini, Influence: The Psychology of Persuasion, Revised Edition 

(Harper Business, 2006). 

Q Allan R. Cohen and David L. Bradford, Influence Without Authority (Wiley, 
2005). 





图 3-5 提供 了 这 些 原则 的 一 个 快速 的 概览 。 基 于 上 述 人 研究 以 及 从 社会 工程 学 实践 中 总 
结 的 经 验 ， 我 们 来 运用 这 些 原则 。 下 面 列举 了 一 些 你 应 该 注意 的 方面 。 














Q 由 于 人 类 的 行为 并 不 总 是 循 规 遵 矩 ,这 些 原 则 中 很 多 都 是 共同 起 作用 的 , 在 例子 中 
你 可 以 看 到 它们 的 相互 影响 。 
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a 有 些 例子 适用 于 多 方面 的 影响 。 

口 由 于 这 些 例子 来 源 于 现实 世界 , 它们 中 的 许多 可 以 阐释 这 些 原则 是 如 何 被 用 来 实施 
操控 的 。( 记得 我 之 前 提 到 的 位 于 影响 和 操控 之 间 的 大 片 灰 色 区 域 吗 ? ) 

口 “专业 建议 ”的 目的 是 为 你 提供 对 这 些 原 则 更 深刻 的 理解 和 更 灵活 的 运用 , 如果 你 
为 所 在 的 机 构 提 供 安 全 服务 ， 那么 它们 对 你 而 言 是 十 分 重要 的 。 


互惠 























义务 




















稀缺 











权威 











致 性 与 承诺 











喜爱 














秆 会 认同 











图 3-5 影响 的 原则 


3.6.1 互惠 








定义 互惠 是 一 种 普遍 的 信念 ， 人 们 应 该 根据 其 所 作 所 为 得 到 相应 的 回报 。“ 善 有 善 
报 ” 和 “以 眼 还 眼 ”这 样 的 古老 格言 都 描述 了 互惠 的 方式 。 这 一 概念 是 如 此 强大 ， 以 
至 于 科恩 和 布 拉 德 福 德 认为 它 是 每 一 种 影响 的 基础 。” 












































例子 有 一 个 关于 这 一 原则 的 真实 的 例子 ， 那 就 是 提供 退 款 以 获取 个 人 信息 的 骗局 。 
这 里 的 关键 是 恶意 攻击 者 使 目标 觉得 自己 先 得 到 了 某 样 东 西 。 因 为 目标 觉得 收 到 了 某 














@ Allan R. Cohen and David L. Bradford, “The Influence Model: Using Reciprocity and Exchange to Get 
What You Need,” November 11, 2005, http://onlinelibrary.wiley.com/doi/10.1002/joe.20080/abstract, doi: 
10.1002/joe.20080. 

@ Chris Morran, “That Guy on the Phone Offering a Tech Support Refund Is Probably a Scammer,” The 
Consumerist website, January 3, 2014, http://consumerist.com/2014/01/03/that-guy-on-the-phone-offering- 
a-tech-support-refund-is-probably-a-scammer/. 
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种 礼物 ， 所 以 他 会 认为 有 必要 提供 点 什么 东西 《个 人 信息 ) 作为 回报 。 









































c 


专业 建议 尽管 互惠 原则 是 建立 在 礼物 的 基础 上 ， 但 是 礼物 不 一 定 是 实物 。 它 可 以 是 
一 个 微笑 ， 是 同情 地 聆听 倾诉 ， 甚 至 是 在 前 面 为 别人 开 一 下 门 。 它 只 要 对 接受 者 来 说 
足够 宝贵 ， 就 可 以 产生 足以 对 其 施加 影响 的 力量 。 








3.6.2 义务 

定义 “互惠 是 建立 在 礼物 的 基础 上 ， 义 务 则 通过 传统 、 礼 仪 、 个 人 感受 和 社会 角色 
来 施加 影响 。 当 有 人 给 我 让 路 时 ， 出 于 礼貌 ， 我 会 有 一 种 “挥手 的 义务 ”"。 你 曾经 有 
过 让 路 而 对 方 没有 挥手 的 经 历 吗 ?多 无 礼 啊 ! 











例子 “一 个 真实 的 利用 人 们 的 义务 感 的 例子 是 可 怕 的 祖父 母 骗局 。 "骗子 假装 成 陷 人 
麻烦 的 孙子 或 孙女 。 通 常情 况 下 ， 打 电话 者 会 要 求 保密 ， 并 声称 需要 钱 出 狱 。 很 多 骗 
子 之 前 会 对 他 们 的 目标 进行 一 些 研究 ， 得 知 他 们 的 一 些 情况 ， 例 如 他 们 使 用 的 昵称 。 
他 们 利用 这 些 可 怜 的 人 的 社会 角色 和 感受 ， 就 像 一 个 受害 者 所 说 的 :“ 你 不 想 让 你 的 
孙子 或 孙女 受到 任何 伤害 。 











专业 建议 ”你 如 何在 不 认识 的 人 身上 创造 一 种 义务 感 ?” 用 一 些 与 他 们 的 身份 相关 的 
东西 怎么 样 ? 他 们 为 人 父母 吗 ? 他 们 自 认 为 喜欢 帮助 别人 吗 ? 在 你 辨识 过 这 些 之 后 ， 
可 以 利用 这 些 信息 来 制造 一 个 需求 帮 你 达到 目的 , 或 者 以 一 种 符合 目标 对 自我 的 认 知 
的 方式 行事 。 











3.6.3 th 


定义 ”你 曾经 和 重要 的 人 吵架 并 陷 人 僵局 吗 ? 结果 可 能 是 一 整 天 的 冷冰冰 的 眼神 和 
简短 生硬 的 对 话 。 你 认为 可 以 通过 什么 方式 确认 自己 已 经 胜利 ? (女士 们 ,我 要 说 的 
Æ, “SUR PMA BCS EERE, ARTES, Abi “We, ABS, 今 晚 吃 什 么 ? ” 
时 ， 你 应 该 知道 你 已 经 说 了 。) 受 协 是 一 个 人 让 步 的 时 候 。 这 通常 表明 主动 权 已 经 移 
交 到 男 一 个 人 手中 了 。 















































(D Melanie Hicken, “‘Grandparent Scams’ Steal Thousands from Seniors," CNN Money website, May 22, 
2013, http://money.cnn.com/2013/05/22/retirement/grandparent-scams/. 
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这 一 点 很 重要 ， 因 为 妥协 会 把 目标 置 于 困境 之 中 。 人 性 如 此 ， 有 过 一 次 让 步 后 ， 
还 可 能 有 更 多 的 让 步 。 这 也 被 称 为 “登门 槛 法 ”( 或 得 寸 进 尺 法 )。 想 想 那些 试 
通过 分 发 传单 来 卖 东西 的 人 们 。 他 们 知道 如 果 让 你 拿 到 传单 ， 那 么 你 至 少 可 能 会 


停留 一 下 。 


Rl 











例子 ”祖父 母 骗局 也 可 以 当 作 一 个 妥协 的 例子 。 某 一 个 案例 中 ， 有 一 位 祖母 被 骗 超 
过 20 000 美元 一 一 但 不 是 一 次 就 被 骗 这 么 多 。 受 害 者 妥协 一 次 并 交 出 钱 后 ， 骗 子 继续 
要 求 更 多 的 钱 ， 她 就 继续 妥协 下 去 。” 




















专业 建议 ”专业 社会 工程 人 员 有 时 候 会 通过 成 为 让 步 的 那个 人 来 引导 这 一 相互 影响 
的 过 程 。 通 过 这 种 行为 ， 社 会 工程 人 员 暗 示 权 利 被 让 步 给 了 目标 ,尽管 妥协 可 能 很 微 
小 或 者 无 意义 。 汽 车 销售 员 总 是 这 么 做 。 
























































3.6.4 ”稀缺 

定义 ” 当 资 源 有 限 或 者 缩减 时 ， 会 变 得 更 有 价值 。 这 是 另 一 种 在 我 们 脑 中 根深 蒂 固 
的 观念 。 以 前 抢 不 到 最 后 一 只 鸡翅 膀 真 的 事 关 生存 ， 不 像 现 在 只 会 带 来 一 种 满足 感 ， 
一 种 由 于 看 到 你 的 兄弟 姐妹 抢 不 到 而 产生 的 满足 感 。 




















真正 讽刺 的 是 ， 我 以 研究 这 些 把 戏 为 生 ， 并 完全 理解 稀缺 的 含义 。 不 过 当 我 看 见 广告 
说 “如 此 低 价 ， 不 容错 过 ”的 时 候 ， 我 还 是 偶尔 会 买 广告 里 的 商品 。 实 际 上 有 时 候 我 
一 买 就 买 两 个 。 


























例子 ”该 从 哪里 开始 呢 ? 你 几乎 每 天 都 能 见 到 骗局 和 那些 实际 上 接近 骗局 的 广告 。 
20 世纪 70 年 代 ， 一 家 夜总会 的 老板 史 蒂 夫 ' 鲁 贝尔 在 夜总会 门口 竖 了 一 根 天 鹅 绒 绳 
子 ， 只 允许 特定 的 来 宾 进 入 。 这 一 举措 引发 了 人 们 近乎 疯狂 的 想 要 光顾 这 家 夜总会 的 
热情 。 同 理 ， 有 一 类 人 金币 复制 品 (表面 上 不 是 一 个 骗局 ) 的 广告 宣称 “尽早 入 手 , fü 


BJ > rp.» 
EH ot s 





o 








专业 建议 像 互惠 一 样 ， 稀缺 或 缩减 的 资源 不 一 定 偏 要 是 实体 的 。 你 曾经 试 过 约见 
某 个 重要 人 物 吗 ?他 真 的 在 下 周 四 下 午 1: 20 的 时 候 只 有 10 分 钟 空余 时 间 给 你 吗 ? 








(D Kathy Tomlinson, “Senior Loses $20,000 to Scammer Posing as Grandson,"CBC News website, March 20, 
2012, http://www.cbc.ca/news/canada/senior-loses-20-000-to-scammer-posing-as-grandson-1.1148359. 
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稀缺 是 如 何 对 你 的 紧迫 感 和 行为 产生 影响 的 ? 


3.6.5 ”权威 


定义 ”权威 是 指 拥有 决策 的 权利 。 这 种 权利 可 能 来 源 于 法 律 或 者 其 他 合法 来 源 ， 也 
可 能 基于 个 人 魅力 或 者 信誉 而 建立 。 




















例子 ”我 们 的 成 长 伴随 着 服从 权威 和 反抗 权威 的 过 程 。 我 们 成 年 后 会 倾向 于 自动 回 
应 具有 权威 的 人 或 者 权威 的 符号 。 如 果 有 一 个 戴 着 安全 帽 、 穿 着 安全 背心 的 人 在 马路 
对 面向 你 招手 ， 那 么 你 可 能 会 遵循 他 的 指示 。 








举 一 个 特别 极端 的 利用 这 一 原则 的 例子 。 一 些 快 餐 店 可 能 经 历 过 这 样 的 情况 。 一 个 自 
称 是 执法 机 构 官员 的 人 打 来 电话 , 对 餐厅 老板 说 他 们 有 位 员工 涉嫌 盗 穷 或 者 贩毒 。" 老 
板 被 要 求 遵循 电话 的 另 一 头 传 来 的 指示 ， 把 那 名 员工 锁 在 里 屋 ， 然 后 对 他 或 她 进行 搜 
身 ， 或 者 用 其 他 方式 善 厚 这 位 员工 。 可 以 从 这 个 例子 中 看 到 ， 权 威 极 有 可 能 被 滥用 ， 
也 很 容易 被 用 来 操控 他 人 。 


























男 一 个 有 趣 的 例子 是 ， 有 一 位 女士 假扮 华 夫人 饼 屋 的 经 理 ， 装 模 作 样 地 检查 了 一 下 ， 然 
后 从 收银 机 里 拿 走 了 钱 。“ 她 只 是 简单 地 装 作 自 己 属于 那里 。 根 据 警 方 提供 的 信息 ， 
“整个 过 程 中 ， 她 没有 慌 吓 ， 也 没有 使 用 武器 ”。 

















专业 建议 “你 不 需要 带 着 徽章 彰显 权威 。 穿 着 和 谈吐 ， 写 作风 格 和 身体 语言 ， 以 及 
邮件 里 的 签名 都 会 传达 这 一 信息 : 你 知道 你 在 说 什么 , 并 且 你 发 出 的 指令 应 该 被 遵循 。 
有 一 个 为 女士 们 准备 的 非 专业 的 建议 :由 于 你 的 外 貌 和 其 他 特征 ， 例 如 年 龄 、 音 调 ， 
亲自 展现 权威 可 能 会 有 些 困难 。 有 意识 地 注意 你 正在 展示 什么 ， 做 你 力所能及 的 事 ， 
并 注意 选择 让 别人 相信 你 的 理由 。 




















(D Andrew Wolfson, “A Hoax Most Cruel: Caller Coaxed McDonald's Managers into Strip-Searching a 
Worker,” Courier-Journal.com, October 9, 2005, http://archive.courier-journal.com/article/2005 1009/NEWS01/ 
510090392/A-hoax-most-cruel-Caller-coaxed-McDonald-s-managers-into-strip-searching-worker. 

(2) Mike Morris, *Police: Woman Posing as an Area Manager Steals Cash from SE Atlanta Waffle House," 
AJC.com, February 26, 2014, http://www.ajc.com/news/news/local/police-se-atlanta-waffle-house-robbed- 


by-woman-pos/ndcz4/? federated-l. 
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3.6.6 一 致 性 与 承诺 
定义 ”一致 性 与 承诺 涉及 这 样 一 个 概念 : 当 人 们 已 经 做 出 某 种 行为 后 ， 他 的 后 续 行 
为 会 更 倾向 于 与 前 面 的 行为 保持 一 致 。 正 如 你 所 推测 的 ， 这 一 点 和 让 步 原 则 往往 密切 


联系 在 一 起 。 在 一 个 人 让 步 后 ,一致 性 与 承诺 就 会 让 这 个 人 觉得 他 应 该 继续 让 步 。 你 
会 如 何 看 待 一 个 想法 总 是 变 来 变 去 的 人 ? 没 人 想 要 被 当成 是 那 种 人 。 


















































例子 ” 据 报 道 ， 有 一 位 女士 被 一 家 基督 徒 交 友 网 站 骗 了 。" 有 趣 的 是 受害 者 和 犯罪 者 
都 证 明了 一 致 性 和 承诺 的 需求 。 这 位 受害 者 , 像 其 他 受害 者 一 样 ， 为 她 的 求婚 者 花 光 
了 所 有 的 钱 以 表明 自己 的 承诺 。 而 犯罪 者 也 表现 得 像 一 个 忠贞 的 爱人 一 样 ， 几乎 每 天 
不 间断 地 给 她 发 送 邮 件 和 未 来 的 计划 。 

















专业 建议 在 人 们 答应 一 个 请 求 后 ， 他 们 很 可 能 继续 再 答应 一 个 。 经 验 丰 富 的 社会 
工程 人 员 能 够 在 不 显得 古怪 或 者 冒犯 的 同时 逐渐 提高 要 求 , 并 克制 自己 对 于 持续 索取 
行为 的 个 人 反感 。 在 斯 坦 利 . 米尔 格 兰 姆 博士 20 世纪 60 年 代 的 实验 中 ,“ 逐 步 加 强 ” 
(escalation ) 这 一 概念 得 到 了 令 人 惊讶 的 体现 。” 



































尽管 这 项 研究 的 目的 是 为 了 确认 人 们 服从 权威 的 程度 , 但 它 同样 也 是 一 个 很 好 的 对 “ 逐 
步 加 强 ” 这 一 概念 的 说 明 。 参 与 者 被 要 求 通过 CR) 电击 来 “ 教 ” 学 习 者 记忆 单词 。 
每 次 学 习 者 犯错 时 ， 教 师 就 要 增加 15 伏特 的 强度 。 图 3-6 展示 了 参与 者 看 到 的 面板 。 
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图 3-6 米尔 格 兰 姆 的 “电击 ”面板 






































(D Rheana Murray, “Online Dating Nightmare: Widow Robbed of $500K by Scamming Internet Companion,” 
Daily News website, November 8, 2011, http://www.nydailynews.com/news/national/online-dating- 
nightmare-widow-robbed-500k-scamming-internet-companion-article- 1.974887. 

@ S. Milgram, “Behavioral Study of Obedience,” Journal of Abnormal and Social Psychology 67(1963): 
371-8. 
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想象 一 下 你 处 在 教师 的 位 置 。 首 先 你 同意 参与 这 一 重要 的 研究 活动 。 其 次 ,你 要 同意 
这 项 研究 的 各 种 条 件 。 然 后 ， 你 遵循 指示 去 做 。 第 一 次 你 会 发 射 15 伏特 的 电击 。 开 
管 对 于 学 习 者 来 说 并 不 算 太 糟 ， 但 你 的 学 习 者 继续 犯错 ， 使 得 你 不 断 提高 电压 。 你 逐 
渐 开 始 感到 心里 不 舒服 。15 伏特 和 150 伏特 有 很 大 的 差别 。 你 该 如 何 停止 ? 什么 时 候 
停止 ? 如 果 你 停 下 来 了 ， 会 影响 实验 吗 ? 你 愿意 半途 而 废 吗 ? 


























话说 回来 ,米尔 格 兰 姆 所 研究 的 是 人 们 对 权威 的 服从 , 但 你 也 能 从 中 看 到 一 致 性 和 承 
诺 在 个 体 身 上 施加 了 多 少 压力 。 





367 喜爱 


定义 ”你 曾经 遇 到 过 一 见面 就 喜欢 的 人 吗 ? 除了 这 个 人 迅速 建立 融洽 关系 〈 请 看 专 
业 建 议 ! ) 的 能 力 外 ， 你 认为 你 喜欢 这 个 人 的 原因 是 什么 ? 我 们 倾向 于 喜欢 那些 喜欢 
我 们 的 人 。 我们 也 确实 喜欢 那些 像 我 们 的 人 。 广 告 商 一 直 在 使 用 这 一 原则 : 雇用 我 们 
喜欢 〈 并 且 想 要 去 模仿 ) 的 演员 或 者 和 我 们 能 产生 联系 的 演员 。 























例子 “不幸 的 是 ， 恶 意 攻击 者 也 常常 利用 我 们 想 要 帮助 喜欢 的 人 的 愿望 。 典 型 的 
“ 沛 留 旅客 ”钓鱼 攻击 生效 的 原因 是 ， 骗 子 盗 取 了 某 个 人 的 邮箱 ， 然 后 联系 他 的 朋友 
和 父母 ， 假 装 受害 人 并 声称 需要 钱 。” 



































0 





专业 建议 K, MEE A? 专业 社会 工程 人 员 通 过 发 展 某 些 上 
质 来 建立 融洽 关系 ， 如 积极 聆听 ， 以 及 与 语言 相 一 致 的 非 语言 行为 。 另 一 个 增加 好 感 
的 简单 的 办 法 是 , 识别 出 你 和 目标 之 间 确 实 存在 的 相似 之 处 。 当 你 和 某 人 有 共同 点 时 ， 
他 就 很 难 向 你 说 不 。 


Lu 
































3.6.8 社会 认同 

定义 我 处 于 一 个 真实 的 两 难 境地 。 我 有 时 候 去 一 类 餐厅， 那里 是 在 吧台 点 餐 ， 然 后 
找 个 位 置 坐 下 来 等 上 菜 。 应 该 付 小 费 吗 ? 我 不 确定 。 有 时 候 鼓 励 我 付 小 费 的 原因 是 看 
见 吧 台 上 有 装 小 费 的 钢 子 , 这 是 一 种 行为 上 的 社会 认同 。 社会 认同 是 我 们 的 自然 倾向 ， 
即 通过 观察 他 人 来 指导 自己 的 行为 。 像 刚才 那样 的 两 难 情况 下 ， 这 一 作用 尤其 强烈 。 



































(D Liz Phillips, “How I Got Caught Up in a ‘Stranded Traveller’ Phishing Scam," The Guardian website, 
November 13, 2013, http://www.theguardian.com/money/2013/nov/13/stranded-traveller-phishing-scam. 
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例子 ”由 于 我 们 的 社会 性 ， 社 会 认同 是 一 种 极为 强大 的 影响 原则 。 我 们 会 想 :“ 如 果 
其 他 人 都 这 么 做 ， 那么 这 件 事 就 是 正确 的 ”骗子 已 经 在 利用 这 一 倾向 ， 不 过 我 们 现 
在 如 此 紧密 地 通过 互联 网 相连 ,尤其 是 在 社交 媒体 上 ， 于 是 这 就 成 为 了 一 个 很 大 的 问 
题 。 第 1 章 中 提 到 过 ,灾后 骗局 激增 ， 因 为 人 们 想 要 帮助 他 人 的 心愿 被 利用 。 这 些 骗 
局 在 社交 媒体 上 传播 迅速 "， 并 给 人 一 种 每 个 人 都 在 通过 某 种 途径 进行 捐款 的 错觉 。 






































专业 建议 社会 工程 人 员 通 常 制造 这 种 社会 认同 的 假象 来 鼓励 某 些 行为 。 其 他 人 完成 
的 调查 和 请 愿 使 得 你 更 愿意 提供 个 人 信息 。 人 们 聚集 在 一 起 讨论 , 使 得 路 过 的 人 几乎 
不 可 能 不 停 下 来 望 一 眼 或 听 一 会 儿 。 








3.7 与 影响 相关 的 更 多 乐趣 


我 们 从 社会 认同 很 自然 地 过 渡 到 这 一 节 , 因为 它 对 影响 原则 起 作用 的 原因 作 了 一 些 解 
释 。 最 基本 的 解释 是 它们 都 利用 了 人 类 的 天 性 ,但 是 也 有 其 他 因素 在 起 作用 。 





3.7.1 社会 性 与 影响 


在 这 个 世界 上 ， 社 会 性 与 影响 有 什么 关联 ? 事实 上 二 者 几乎 所 有 方面 都 有 关联 。 现 
代 科学 的 发 展 使 得 无 论 强壮 还 是 瘦弱 的 人 都 可 以 存活 ;在 现代 科学 出 现 之 前 ， 人 们 
依赖 他 人 的 庇护 和 安奈 来 抵御 外 界 的 威胁 。 除 了 少数 著名 的 例外 ， 那 些 决定 远离 人 
群 独自 生存 的 人 都 …… 死 了 ， 和 他 的 基因 一 起 消失 。 古 代 最 严厉 的 您 罚 就 是 流放 。 
因此 ， 对 一 个 人 所 处 的 社会 环境 敏感 并 非 只 是 因为 挑剔 ， 还 有 寻求 生存 和 繁衍 的 最 
佳 时 机 的 因素 。 






































这 已 经 变 成 了 我 们 天 性 的 一 部 分 。 我 们 天 生 会 对 明显 的 或 微妙 的 群体 需求 有 所 反应 。 
因此 ,不 要 责备 那些 躲避 同辈 压力 的 孩子 们 ， 或 者 说 那些 盲目 从 众 的 人 思春 ， 你 要 明 
白 他 们 只 是 在 跟随 自己 的 生存 本 能 。 

















专业 建议 ”现代 社会 中 ， 社 会 工程 人 员 会 使 用 他 们 所 掌握 的 关于 社会 性 的 知识 ， 模 
拟 出 群体 压力 下 的 环境 。 即 使 “ 独 狼 ” 也 会 在 某 种 程度 上 感到 社会 压力 ， 依 环境 和 附 











(D Matt Liebowitz, “Tips to Avoid Japanese Earthquake Phishing Scams,” NBCNEWS.com, March 11, 2011, 
http://www.nbcnews.com/id/42036358/ns/technology_and_science-security/t/tips-avoid-japanese-earthquake- 
phishing-scams/#. VB Yrjktg6bB. 
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近 的 人 而 定 。 社 会 工程 人 员 通 常会 构造 一 种 场景 来 造成 某 种 紧张 、 担 忧 的 情绪 ， 或 者 
促使 人 们 采取 行动 。 最 优秀 的 社会 工程 人 员 可 以 很 自然 地 做 到 这 一 点 。 这 是 社会 工程 
人 员 真 正 的 技巧 一 一 刻意 营造 一 个 场景 ， 却 能 让 人 感觉 两 个 人 (或 更 多 人 ) 之 间 在 真 
诚 地 交流 。 























3.7.2 ”生理 反应 


克 里 斯 在 第 2 章 中 讨论 过 杏仁 核 在 情绪 化 思考 和 理性 思考 中 的 作用 。 当 大 脑 受到 刺激 
时 ， 人 体内 也 发 生 了 一 连 串 有 趣 的 事情 。 尽 管 把 大 脑 反 应 和 生理 反应 分 开 来 说 并 不 合 
适 ， 但 我 还 是 这 么 说 吧 。 






































如 果 人 体感 受到 威胁 , 那么 杏仁 核 就 会 开始 进行 一 系列 活动 来 保护 人 体 。 无 论 这 种 威 
胁 是 一 条 瘤 鱼 要 吃 掉 你 ， 还 是 收 到 一 封 宣告 你 患 有 癌症 的 邮件 ， 你 的 身体 都 会 产生 同 
样 的 反应 。 














神经 系统 会 自动 向 体内 传输 应 激 激素 ， 这 会 导致 你 心跳 加 快 、 血 压 升 高 、 瞳 孔 扩 大 、 
血液 流向 主要 的 肌肉 群 。 "这 些 生理 反应 使 得 身体 做 好 了 行动 准备 。 重 要 的 是 ， 要 知 
iB: 这 是 为 了 最 佳 表现 ( 包括 认 知 上 的 表现 ) 而 处 于 的 最 佳 状态 。” 






































专业 建议 ”这 一 事实 表明 ， 如 果 社 会 工程 人 员 能 够 影响 和 控制 目标 所 受 的 压力 大 小 ， 
那么 他 们 就 可 以 进而 影响 目标 决策 的 质量 。 结合 一 些 其 他 因素 ,例如 可 以 导致 特定 生 
理 反应 的 行为 ， 他 们 就 可 以 施加 影响 了 。 








3.7.3 心理 反应 

施加 影响 会 产生 什么 样 的 心理 反应 呢 ? 其 中 一 个 例子 是 , 我 们 的 非 语言 行为 对 其 他 人 
会 产生 重大 影响 。 有 一 种 肯定 可 以 让 人 生气 的 办 法 ， 那 就 是 展示 与 你 的 话语 不 相符 的 
面部 表情 和 肢体 语言 。 关 于 这 一 问题 ， 克 里 斯 在 他 的 另 一 本 书 《 社 会 工程 卷 2: 解读 





























(D Harvard Medical School, “Understanding the Stress Response,” Harvard Health Publications website, 
March 2011, http://www.health.harvard.edu/newsletters/Harvard_Mental_Health_Letter/2011/March/ 
understanding-the-stress-response. 

(2) Dan Goleman, “The Sweet Spot for Achievement,” Psychology Today website, March 29, 2012, http://www. 
psychologytoday.com/blog/the-brain-and-emotional-intelligence/201203/the-sweet-spot-achievement. 
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肢体 语言 》 中 有 更 深入 的 探讨 。 





你 也 可 以 通过 有 意识 地 控制 非 语言 信号 来 控制 人 们 的 反应 。 最 近 的 研究 表明 ,“ 贷 怒 的 
脸 ” 这 一 普遍 表情 已 经 演变 成 了 一 种 面部 指标 ,可 以 显示 出 一 个 人 的 强壮 和 破坏 力 。" 
这 种 铠 吓 的 表情 源 于 本 能 ， 连 从 未 见 过 这 种 表情 的 盲人 孩子 都 能 做 到 。 研 究 者 相信 ， 
我 们 进化 出 这 种 表情 是 为 了 有 效 地 进行 讨价还价 。 无 论 何 种 文化 中 ,愤怒 的 脸 都 传达 
出 一 种 强 有 力 的 感觉 。 





社会 工程 人 员 即 使 不 直接 接触 目标 ， 也 仍然 有 办 法 影响 他 们 的 反应 。 艾 伦 兰 戈 博士 
和 他 的 同事 一 起 进行 了 一 个 有 趣 的 研究 , 他 们 让 参与 考试 着 在 复印 机 上 划一 条 线 。 研 
究 发 现 ， 如 果 参 与 者 提供 了 某 种 理由 ， 即 使 这 个 理由 没什么 道理 ( 例如 “因为 我 想 
要 复印 ， 所 以 我 可 以 划一 条 线 吗 ? ”)， 参 与 者 会 更 容易 成 功 地 在 复印 机 上 划一 条 线 。 
这 表明 : 如 果 在 提出 请 求 时 提供 一 个 理由 一 一 无 论 什 么 理由 一 一 那么 都 会 增加 成 功 
的 概率 。 





















































关于 心理 反应 的 最 后 一 点 是 : 有 很 多 其 他 因素 影响 着 人 们 对 你 的 反应 ， 但 是 请 记 住 ， 
大 多 数 时 候 社 会 工程 人 员 都 是 在 寻求 帮助 。 帮 助 行为 是 一 个 非常 庞大 且 复 杂 的 话题 ， 
但 是 有 些 部 分 显而易见 。 大 多 数 人 在 考虑 是 否 要 帮忙 时 ， 都 能 清楚 地 权衡 风险 和 /或 
肥 烦 。 一 般 来 说 ， 人 们 更 可 能 帮助 女性 和 孩子 ， 也 更 可 能 在 心情 好 时 帮忙 。 最 后 ， 
当 周 围 有 人 时 ， 人 们 可 能 不 那么 愿意 帮忙 。( 除非 有 人 先 跳出 来 帮忙 一 一 社会 认同 ， 
不 是 吗 ? ) 


















































专业 建议 ”人们 所 处 的 状况 显然 可 以 被 用 来 施加 影响 。 理 解 特定 行为 的 效果 可 以 使 
社会 工程 人 员 控制 自己 的 行为 ， 从 而 创造 条 件 让 目标 说 “好 的 ”。 








(D Andrea Estrada, “The Universal ‘Anger Face’ : Each Element Makes You Look Physically Stronger and 
More Formidable,” ScienceDaily website, August 28, 2014, http://www.sciencedaily.com/releases/2014/08/ 
140828184811 .htm. 

@ E. J. Langer, A. Blank, and B. Chanowitz, “The Mindlessness of Ostensibly Thoughtful Action: The Role of 
*Placebic' Information in Interpersonal Interaction," Journal of Personality and Social Psychology 36, no. 6 
(1978): 635-2. 


66 | 第 3 章 影响 与 操控 


3.8 ”关于 操控 需要 知道 的 事 


因为 操控 对 你 和 你 的 公司 无 疑 是 不 利 的 ， 所 以 我 想 快速 概览 一 下 一 些 常见 的 手段 。 
〈《 没 错 ， 我 不 会 为 这 一 节 提 供 专 业 建 议 的 。) 图 3-7 为 下 面 的 条 目 做 了 一 个 总 结 。 





口 增加 易 感 性 。 恶 意 社 会 工程 人 员 会 用 一 切 手段 增加 人 们 对 于 建议 和 错误 决策 的 易 
感性 。 之 前 你 读 到 的 对 强烈 情绪 甚至 生理 反应 的 激发 都 是 让 逻辑 思维 短路 的 重要 
办 法 。 

O 环境 控制 。 恶意 攻击 者 进入 受害 者 的 生活 圈子 后 通常 都 会 这 么 做 。 无 论 在 网 络 上 还 

是 现实 世界 中 都 可 以 找到 很 多 这 样 的 例子 。 

口 强制 重新 评价 。 攻 击 者 会 让 目标 对 自己 所 知道 的 和 学 到 的 东西 产生 怀疑 。 这 一 手段 

通常 和 其 他 方法 一 起 使 用 ， 例 如 威胁 与 恐吓 。 

口 权力 剥夺 。 通 党 和 权力 滥用 相伴 随 ， 攻 击 者 会 让 目标 觉得 除了 服从 以 外 没有 其 他 

选择 。 

口 惩罚 。 我 在 本 章 中 讨论 过 这 一 点 ， 这 是 负面 结果 的 直接 运用 ,会 让 那些 目睹 而 非 经 

历 负 面 结 果 的 人 感到 害怕 。 

O zer. TERA ZEAE, LUN UE AAT E RUD 

















强制 重新 评价 


环境 控制 


增加 易 感 性 





图 3-7 操控 的 办 法 


阅读 这 些 内 容 会 不 会 让 你 感觉 有 些 捍 融 ? 当然 , 操控 起 作用 了 , 但 在 你 运用 它们 之 前 ， 
o 
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3.9 总 结 


Ws =A 








社会 工程 学 的 核心 是 有 意识 地 引导 男 一 个 人 做 决定 。 根 据 你 的 意愿 ， 这 些 行为 可 好 可 
坏 。 学 完 本 章 ， 你 应 该 已 经 能 够 : 





Q 辨认 影响 和 操控 之 间 的 区 别 ; 

Q 理解 影响 的 原则 以 及 它们 为 什么 有 用 ; 

口 理解 影响 的 效果 是 由 我 们 的 社会 天 性 、 生 理 要 素 和 心理 要 素 共同 决定 的 ; 
口 理解 基本 的 操控 手段 ， 并 且 在 有 人 向 你 实施 操控 时 能 够 识别 出 来 。 


















































你 现在 应 该 已 经 具备 了 理解 钓鱼 攻击 的 基础 知识 ， 能 够 理解 它们 之 所 以 有 效 的 原因 。 
通过 了 解决 策 制定 、 有 影响 和 操控 ， 你 已 经 对 钓鱼 攻击 有 了 初步 的 认识 。 





























接 下 来 该 如 何 运用 这 些 信息 来 保护 你 自己 和 你 的 公司 呢 ?” 克 里 斯 将 在 第 4 章 讨论 这 些 
问题 ， 他 会 讲 一 些 我 们 的 经 验 ， 以 及 客户 所 做 的 或 好 或 坏 的 决定 。 第 4 章 也 讲 了 针对 
普通 人 和 专业 人 士 的 建议 ， 可 以 帮助 你 在 家 中 以 及 在 工作 中 自我 保护 。 




















Wk 
保护 课程 


“学 校 和 真实 生活 的 一 个 重要 区 别 在 于 : 学 校 先 教 你 知识 然后 考试 ， 生 活 则 
通过 考试 来 教 你 知识 。” 
一 一 克里斯托弗， 海德 纳 吉 











现在 你 已 经 通过 了 我 们 的 常 驻 心理 医生 和 钓鱼 攻击 采 子 〈 是 的 ， 我 说 的 就 是 米 歇 尔 ) 
的 训练 ,那么 是 时 候 开始 运用 你 所 学 的 知识 了 。 我 和 很 多 公司 交流 过 ， 他 们 花费 大 量 
时 间 在 互联 网 上 ， 意 图 寻找 学 习 并 教授 员工 如 何 进行 自我 保护 的 建议 。 在 这 些 交 流 和 
他 们 所 遇 到 的 挫折 的 基础 上 ， 我 完成 了 本 童 的 编写 。 



































本 章 会 教 给 你 我 们 从 一 些 世 界 上 最 大 的 组 织 机 构 那里 学 来 的 经 验 ， 以 及 如 何 运 用 它 
们 。 我 发 现 “专业 ”建议 和 “普通 ”建议 之 间 的 差别 很 大 。 


这 里 的 普通 是 指 平常 的 普通 人 。 他 们 在 家 的 时 候 ， 没 有 全 职 的 IT 工作 者 可 以 求助 。 
他 们 上 班 的 时 候 , 隔壁 的 格子 间 里 并 没有 这 样 一 位 电脑 果子 ， 他 可 以 一 边 大 声 感 叹 你 
的 技术 水 平 有 多 差 , 一边 告诉 你 该 做 什么 。 即 使 中 小 型 (或 者 有 时 候 是 大 型 ) 公司 也 
没有 此 类 全 职 的 安全 专家 可 以 随 叫 随 到 。 如 果 你 觉得 这 些 描述 像 是 在 说 你 ,那么 请 注 
意 一 下 这 些 普通 建议 。 专 业 建 议 主要 是 针对 那些 更 大 的 、 拥 有 专职 安全 人 员 的 公司 。 
很 多 建议 对 普通 人 员 和 专业 人 员 都 有 用 。 因 此 ， 本 章 对 于 这 两 个 群体 的 人 都 很 重要 。 
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另外 ， 本 章 还 涉及 一 面 “绵羊 墙 ”( Wall of Sheep )。 你 可 能 对 这 个 词 不 熟悉 ， 它 来 源 
于 DEF CON， 世 界 上 最 大 的 黑客 /安全 会 议 之 一 。 每 年 的 DEF CON 上 ， 运 作 绵 羊 墙 
的 那些 人 都 会 把 在 会 场 上 连接 到 未 知 网 络 上 的 “绵羊 ” 们 的 账号 密码 公布 在 上 面 。 为 
什么 要 这 么 做 ?他 们 希望 提高 人 们 的 安全 意识 ,告诉 人 们 抓 取 这 些 “ 安 全 ”信息 是 多 
么 容易 。 

我 不 会 在 本 章 中 把 特定 的 公司 名 称 列 出 来 并 说 出 它们 的 思春 想法 。 相 反 ， 我 的 绵羊 墙 
上 列举 的 是 那些 和 我 们 曾经 一 起 共事 的 人 所 提出 的 或 者 〈 不 幸 ) 已 经 用 过 的 想法 ， 而 
put ag 6 EK FA 



























































本 章 的 目标 是 提供 一 种 资源 ， 其 中 包含 了 一 系列 不 会 过 时 的 想法 和 基础 原则 ， 帮 助 你 
学 习 如 何 抵御 前 三 章 中 提 到 的 攻击 。 





让 我 们 来 开始 第 一 课 吧 。 
4.1 第 一 课 : 批判 性 思维 


@ 类 别 : 普通 和 专业 





我 认为 如 果 不 从 这 非常 关键 的 一 步 一 一 批判 性 思维 一 一 开始 我 的 第 一 课 , 那么 会 是 很 
失职 的 。 在 我 的 上 一 本 书 《社会 工程 卷 2: 解读 肢体 语言 》) 中 已 经 讨论 了 一 些 细节 。 
我 认为 这 是 帮助 人 们 抵御 任何 社会 工程 学 攻击 的 最 重要 的 建议 。 




















请 允许 我 在 此 重申 一 下 我 在 那 本 书 中 所 提出 的 观点 。 很 多 时 候 人 们 把 批判 性 思维 和 
道 反 、 缺 乏 信仰 或 者 为 了 质疑 而 质疑 联系 在 一 起 。 但 是 这 些 都 不 是 我 对 批判 性 思维 
的 定义 。 














我 将 批判 性 思维 定义 为 : 告 诚 自己 不 要 事 事 都 信以为真 。 不 要 认为 邮件 内 容 都 是 真实 
的 ， 只 因为 没 时 间 评 估 、 因 为 压力 很 大 以 至 于 没 时 间 思 考 ， 或 者 因为 有 另外 150 封 未 
读 邮 件 。 停 下 来 思考 一 会 儿 。 这 听 起 来 是 一 个 耗 时 的 任务 ， 但 是 问 问 自 己 下 面 这 几 个 
问题 并 不 会 花 很 多 时 间 。 


























口 这 封 邮 件 来 自我 认识 的 人 吗 ? 
a 我 预料 到 会 收 到 这 样 一 封 邮件 吗 ? 
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口 邮件 里 的 请 求 合 理 吗 ? 
O 这 封 邮件 是 否 试图 唤起 某 些 情绪 ， 比 如 恕 惧 、 贪 梦 或 者 好 奇 , 或 者 最 重要 的 一 一 它 
是 否 试 图 让 我 做 点 什么 ? 


























花 上 两 三 秒 钟 来 想 想 上 面 每 个 问题 ， 这 能 够 帮助 你 更 好 地 识别 钓鱼 邮件 。 





在 阅读 下 面 的 课程 时 ， 你 可 以 把 上 述 问题 运用 到 课程 中 ,并 且 你 会 发 现在 识别 真正 的 
威胁 时 ， 思考 和 不 思考 ( 哪怕 只 有 一 两 个 ) 上 述 问 题 的 区 别 有 多 大 。 











即使 你 已 经 问 过 自己 上 面 所 有 的 问题 ,本 节 中 也 有 一 些 值得 一 看 的 建议 ， 可 以 帮助 你 
获得 额外 保护 。 


攻击 者 是 如 何 绕 过 防御 的 

攻击 者 不 希望 你 思考 ， 尤 其 不 希望 你 进行 批判 性 思考 。 他 们 会 利用 情绪 来 阻止 你 的 批 
判 性 思维 或 者 逻辑 思考 ，( 记得 第 2 章 中 的 杏仁 核 劫持 吗 ? ) 并 且 会 试图 唤起 你 的 恐 
恨 、 优 伤 或 者 愤怒 等 情绪 ， 和 迫使 你 采取 一 些 你 不 该 采取 的 行动 。 




















当 你 读 到 一 封 来 自 某 个 不 认识 的 人 的 意外 邮件 ， 并 且 它 正 试图 让 你 产生 情绪 反应 时 ， 
你 就 应 该 警觉 。 停 下 来 几 秒 钟 ， 在 你 采取 行动 前 读 点 别 的 什么 来 冷静 一 下 。 











42 第 二 课 : 学 会 悬 停 


e KA: 普通 和 专业 

















想象 你 坐 在 家 中 , 或 者 办 公 室 里 , 然后 收 到 一 封 图 4-1 所 示 的 邮件 。 你 会 有 什么 感觉 ? 





你 可 能 一 开始 会 想 :“ 不 能 让 我 的 UPS 包 右 出 问题 , 最 好 检查 一 下 。” 或 者 , 你 并 没有 
UPS 账号 ,但 也 可 能 会 感到 惊慌 :“ 谁 用 我 的 名 字 建 立 了 一 个 UPS 账号? ” 




















不 管 是 哪 种 情况 ， 灵 惧 或 者 好 奇 都 会 让 你 想 要 点 击 邮 件 中 的 那个 链接 。 这 封 邮件 有 正 
确 的 标识 , 看 起 来 很 正式 , 甚至 可 能 和 你 收 到 过 的 其 他 UPS 邮件 十 分 相像 。 这 些 细 节 
使 得 你 相信 这 是 一 封 真实 的 邮件 。 














幸运 的 是 你 刚刚 阅读 过 本 书 的 前 三 章 








邮件 ， 目 的 是 让 你 下 载 恶 意 软 件 、 
做 的 是 什么 呢 ? 
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识 到 这 封 邮件 可 能 是 某 种 精心 设计 的 恶意 
he, 或 者 参与 某 种 违法 活动 。 你 首先 能 


AY 





To: Recipients <myups@update.com> 
UPS Periodic Update 


vy UPS Technology Administration <myups@update.com> 


May 5, 2014 2:57 PM 


1 





> Ship Online 
2 Schedule a Pickup 
3 Open a UPS Account 


Easy-to-use. 











elal 





ENDO o 
You can use My UPS to 


Your UPS Account Will Be Suspended 


Dear Customer: 


We are writing to let you know that there are certain 
issues with your account and we require you to verify your 
account immediately 


To help protect your account(s) from unauthorized access, 
we have restricted your online access, pending 
verification of your account 


Simply click here to verify your account(s). 





We take your account security very seriously. 


If you have forgotten your password, visit Forgot 
User ID or Password on to reset it. 


Thank you for choosing My UPS. To learn more 
ways to make My UPS work for you, please visit 
Getting Started. We hope you visit us again soon! 


Copyright © 1994-2014 United Parcel Service of America, Inc. 
UPS, the UPS brandmark, and the color brown are trademarks 
of United Parcel Service of America, Inc. All rights reserved. 


Please do not reply directly to this e-mail. UPS will not receive 
any reply message. For questions or comments, visit Contact 
urs. 


We understand the Importance of privacy to our customers. For 
more information, please consult the UPS Privacy Policy. 


This communication contains proprietary information and may 
be confidential. If you are not the Intended reciplent, the 


reading, copying, disclosure or other use of the contents of this 
e-mail is strictly prohibited and you are instructed to please 





ARÍ 


delete this e-mail Immediately. 


Al 4-1 UPS 钓鱼 邮件 

















ERIT LSU BU Pe eRe fal PUTER bobs SUBEBE EL, (EEE! 
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只 需要 把 鼠标 芒 停 在 上 面 ， 看 看 会 发 生 什么 。 你 可 以 看 见 类 似 图 4-2 的 提示 。 








To help protect your account(s) from unauthorized access, 
we have restricted your online access, pending 
verification of your account 


Simply click here Kaverify your account(s). 





We take you http:/ /alexandraz.co.za/includes/MyUps/UPS.htm 


If you have forgotten your password, visit Forgot 
User ID or Password on to reset it. 








Thank vou for choosing My UPS. To learn more 








Ed] 4-2. eke OTA sid 











我 不 确定 你 的 情况 ,但 是 我 对 UPS 会 把 我 的 账户 信息 存在 一 个 位 于 南美 的 服务 器 里 这 
件 事 很 是 怀疑 ， 后缀 .za 表明 了 这 一 点 。 因 为 悬 停 可 以 反映 URL (链接 ) 的 地 址 ， 而 
那个 地 址 并 不 指向 UPS ， 所 以 这 封 邮件 被 确认 为 钓鱼 邮件 。 




















如 果 你 看 到 这 样 的 链接 ， 那 么 你 需要 用 批判 性 思维 来 问 问 自 己 下 列 问题 。 


O 这 封 邮件 来 自我 认识 的 人 吧 ? 

口 我 预料 到 会 收 到 这 样 一 封 邮件 吗 ? 

口 邮件 里 的 请 求 合理 吗 ? 

a 这 封 邮 件 是 否 试图 唤起 某 些 情绪 ， 比 如 恕 惧 、 贪 楚 或 者 好 奇 , 或 者 最 重要 的 一 一 它 
是 否 试 图 让 我 做 点 什么 ? 














因为 这 封 邮 件 的 意思 很 含糊 ， 所 以 你 其 至 无 法 如 实 回 答 第 一 个 问题 。 你 没有 期 望 或 者 
请 求 这 封 邮件 ， 而 URL 指向 一 个 完全 不 同 的 网 站 。 关 键 是 不 要 因为 好 奇 而 点 击 链接 ， 
而 应 该 立刻 删除 这 封 邮 件 。 




















其 停 在 这 个 链接 上 ,或 者 任何 链接 上 , 会 显示 它 所 指向 的 地 址 。 另 外 ， 这 一 举动 可 以 
快速 帮助 你 回答 批判 性 思维 的 问题 ， 从 而 清楚 地 做 出 决定 。 


想象 你 订阅 了 每 月 发 送 的 《社会 工程 人 员 通 讯 》 当 它 被 发 送 到 你 的 邮箱 时 ， 你 会 看 
见 一 个 指向 更 多 关于 社会 工程 学 信息 的 链接 。 你 可 以 首先 把 鼠标 悬 停 在 上 面 ， 然 后 你 
会 看 到 图 4-3 所 示 的 内 容 。 有 些 情 况 下 ， 高 明 的 攻击 者 可 以 阻止 基 停 ， 所 以 当 你 点 击 
时 ， 再 次 确定 一 下 地 址 栏 里 的 地 址 ， 以 确保 你 访问 的 是 一 个 合法 的 地 址 。 
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IT Tk Think Positive and Act Confident 


* Think Positive and Act 
Confident 











* Social-Engineer News What if you could predict someone's level of risk- 
* Upcoming classes taking simply by observing their nonverbal 
behavior? What if you could accurately calculate 
THE NEWS how much exposure to harm or loss a person is 
willing to accept based on reading their account of 
a similar situation? Welcome to one of the 
As a member of the newsletter sciences behind social engineering KJ 
you have the option to OPT-IN 
for special offers. You can click Your risk is showing.. http://www.social-engineer.org/framework/ 
here to do that. A recent study at the Und sessi discas scu snal nore 
found a predictive correladefined/ 





and risk-taking that worked for both Verbal and 

nonverbal behaviors (Moons, Spoor, Kalomiris & 

Rizk, 2013). The researchers asked 106 undergrad 

students to participate in small group exercises 

where they discussed two possible solutions to 

both a financial crisis and a life-threatening health 
isis. The fi hel isk t 


图 4-3 一 个 安全 且 正 确 的 链接 


Check out the schedule of upcoming 
training on Social-Engineer.com 


REGISTER NOW! 





























这 封 邮件 是 你 要 求 发 给 你 的 (通过 订阅 通讯 )， 链接 也 符合 你 订阅 的 网 址 。 基 于 这 些 
原因 ， 你 可 以 点 击 这 个 链接 。 


4.2.1 点击 链接 后 感觉 危险 该 怎么 办 


不 地 的 是 , 这 种 情况 的 确 会 发 生 , 这 也 是 个 很 好 的 问题 。 首先 , 如 果 你 是 公司 的 员工 ， 
那么 请 将 情况 反映 给 IT 部 门 或 者 给 安全 部 门 。 这 可 以 节约 你 和 公司 很 多 时 间 ， 免 得 
你 们 头疼 ， 也 可 以 避免 将 来 发 生 的 问题 。 
























































但 是 如 果 你 并 不 是 某 家 公司 的 员工 ， 那 该 怎么 办 ? 首先 ， 回 想 一 下 当 你 点 击 链 接 后 ， 
网 站 向 你 发 出 了 什么 请 求 。 你 被 要 求 提供 账户 信息 吗 ?” 被 要 求 输入 用 户 名 和 密码 吗 ? 
被 要 求 下 载 一 个 文件 ， 然 后 安装 一 个 “程序 ” 吗 ? 





如 果 网 站 要 求 你 输入 账户 信息 ,而 你 又 输入 了 你 的 账户 信息 或 者 创建 了 全 新 的 账户 名 
和 和 密码， 那么 你 就 要 尽快 采取 特定 行动 了 。 首 先 ， 你 需要 确认 是 否 在 其 他 地 方 也 用 了 
相同 的 用 户 名 和 密码 。 如 果 你 这 么 做 了 , 那么 立刻 去 那些 地 方 修改 你 的 账户 名 和 密码 。 























如 果 你 有 一 个 邮件 中 所 提 到 的 公司 的 账户 ,而 且 你 把 它 输 入 到 了 网 站 里 ,那么 给 那 家 
公司 打 电 话 ， 并 告诉 他 们 你 可 能 把 你 的 账户 信息 告诉 了 某 个 恶意 的 组 织 。 让 公司 立刻 
修改 你 的 账户 信息 以 保证 你 的 账户 安全 。 
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如 果 你 安装 了 一 款 邮 件 中 要 求 你 安装 的 程序 ， 那 么 很 有 可 能 你 安装 了 一 款 病毒 软件 、 
木马 或 者 其 他 恶意 程序 。 你 需要 清理 你 的 电脑 ， 并 在 另 一 台 安全 的 电脑 上 修改 你 大 多 
数 账户 的 用 户 名 和 密码 ( 或 者 你 可 以 在 清理 了 你 的 电脑 后 再 立刻 这 么 做 )。 











因为 我 不 可 能 知道 你 中 了 哪 种 病毒 , 所 以 无 法 就 你 接 下 来 该 怎么 做 给 出 更 多 细节 性 的 
指导 。 如 果 你 不 知道 怎么 处 理 病毒 和 恶意 软件 ， 那 就 给 专业 人 士 打 电 话 寻 求 帮助 。 











不 过 无 论 如 何 ， 不 要 惊慌 失措 。 监 控 你 的 重要 账户 ， 确 保 没 有 蜡 常 发 生 。 也 可 以 对 你 
的 密码 进行 一 些 修改 来 获取 最 大 程度 的 保护 。 











我 说 不 要 惊慌 失措 时 ， 并 不 是 说 你 不 应 该 紧张 。 你 应 该 尽快 采取 行动 ,但 是 惊慌 往往 
会 使 事情 变 得 更 糟 。 深 呼吸 ， 想 想 该 怎么 办 ， 然 后 立刻 修复 可 以 修复 的 东西 来 防止 进 


一 步 的 损失 o 





4.2.2 攻击 者 是 如 何 绕 过 防御 的 


攻击 者 会 意识 到 潜在 的 受害 者 可 能 受过 其 停 训练 。 很 多 邮件 服务 商 甚至 会 检查 URL 
是 否 和 邮件 文本 中 显示 的 不 同 。 攻击 者 可 能 会 购买 相近 的 域名 来 掩饰 他 们 用 来 攻击 的 
真实 的 域名 。 举 例 来 说 ， 如 果 一 个 攻击 者 购买 了 http://secure- 你 的 银行 .com 域名 ， 而 
你 在 这 个 链接 上 其 停 了 一 会 儿 ， 你 会 以 为 看 到 了 “正确 ”的 域名 ， 那 么 这 会 让 你 信 以 
为 真 ， 然 后 点 击 它 。 这 时 批判 性 思维 就 起 了 重要 作用 : 你 的 银行 是 从 这 个 域名 给 你 发 
邮件 的 吗 ? 如果 你 有 所 怀疑 ， 那 就 该 检查 一 下 。 





























其 他 攻击 者 会 用 注册 过 的 证 书 来 使 得 网 站 看 起 来 合法 和 安全 , 并 且 攻 击 者 的 确 拥有 这 
些 证 书 。 这 些 证 书 可 能 会 以 狭 独 的 方式 命名 ， 使 用 受信 任 的 〈trusted )、 安 全 (secure ) 
或 者 其 他 字眼 来 使 你 相信 点 击 这 些 链接 是 安全 的 。 














另外 ， 黑 客 会 攻击 全 球 范围 内 的 真实 的 服务 器 ， 并 用 合法 服务 器 来 发 送 钓鱼 邮件 。 他 
们 利用 人 们 对 这 些 服务 器 的 信任 来 诱 使 他 们 点 击 恶意 文件 或 者 链接 。 是 的 ， 黑 客 正 在 
攻击 网 络 ， 然 后 隐 于 幕后 ， 利 用 邮件 服务 器 或 者 面向 互联 网 的 设备 来 发 送 邮件 。 通 常 
攻击 者 会 获取 这 些 设备 上 的 邮件 地 址 ， 然 后 利用 这 些 邮 件 地 址 来 联系 第 一 批 受害 者 。 
















































































请 谨慎 处 理 这 些 问 题 。 虽 然 悬 停 可 以 帮助 你 抵御 攻击 ， 但 是 始终 记 住 点 击 前 请 三 思 。 
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4.3 BZR: URL 解析 


e 分 类 : 普通 和 专业 

















在 本 节 开 始 前 ， 我 要 先 声 明 一 下 ， 本 节 不 是 写 给 那些 网 络 专 家 或 者 对 网 络 非常 熟悉 、 

懂得 基本 的 URL 解析 的 人 的 。 本 市 是 写 给 那些 为 了 保证 自己 安全 而 试 着 去 了 解 URL 
的 人 的 。 因 此 ， 如 果 你 觉得 本 节 内 容 太 过 基础 以 至 于 想 给 这 本 书 差 评 ,请 你 停 下 来 ， 

PEI 。 














如 果 你 不 符合 上 面 的 描述 ， 那 么 请 继续 阅读 这 一 节 。URL 是 uniform resource locator 
(统一 资源 定位 符 ) 的 缩写 ， 即 索引 至 互联 网 资源 的 一 种 地 址 。 就 像 我 的 地 址 一 样 ， 

如 果 我 告诉 你 我 的 地 址 ， 你 把 它 输入 GPS 中 就 可 以 找到 我 家 。 同 理 ， 你 输入 的 URL 
地 址 可 以 带 你 访问 想 要 访问 的 资源 。 举 例 来 说 , 图 4-4 展示 的 是 我 的 公司 主页 的 URL. 





























Social-Engineer.com Home - Social-Engineer.Com - 
Tie http:/ /www.social-engineer.com 











图 4-4 我 的 公司 主页 的 URL 





URL 有 很 多 组 成 部 分 ， 如 http. ://, www, social-engineer 和 .com， 但 是 每 一 个 部 分 代 
表 什 么 含义 呢 ?” 让 我 来 逐一 为 你 解释 。 


O http 指 访问 地 址 所 使 用 的 网 络 协议 。http 指标 准 的 网 络 地 址 ,https 则 指 有 SSL( Secure 
Socket Layer， 安 全 套 接 层 ) 证 书 的 网 络 地 址 ，ftp 指 FTP 服务 器 的 协议 。 还 有 很 多 
我 没有 列 出 来 的 协议 ， 但 是 大 部 分 钓鱼 邮件 都 利用 http 或 者 https。 

O www 指 服务 器 的 子 域名 。 子 域名 可 以 是 此 类 形式 : wwl、files 、secure 、blog， 或 

其 他 形式 。 

口 social-engineer 指 服务 器 的 域名 。 

口 .com 是 服务 器 的 TLD (top-level domain， 顶 级 域名 )。 它 可 能 指 一 个 国家 如 俄罗斯 

(ru)、 一 个 组 织 〈.org )、 一 家 企业 ( .com )， 以 及 其 他 含义 。 

O TLD 后 可 能 会 有 一 个 斜 杠 (/)， 斜 杠 后 接 的 是 你 想 访问 的 资源 的 存放 目录 。 































































































如 果 我 想 给 你 发 送 social-engineer.com 网 站 下 的 一 个 名 为 privatefile.txt 的 文件 的 地 址 ， 
并 且 该 网 站 使 用 标准 网 络 协议 ， 那 么 该 网 络 地 址 的 形式 如 图 4-5 所 示 。 
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子 域名 顶级 域名 资源 


| | | 


@ http: / Jwww.social-engineer.com, /supersecurefolder/privatefile.txt| 











协议 域名 文件 地 址 


图 4-5 privatefile.txt 文件 的 URL 








为 什么 理解 URL 的 含义 如 此 重要 ? 因为 很 多 恶意 钓鱼 攻击 者 就 是 利用 你 知识 上 的 不 
足 来 欺骗 你 。 举 个 例子 , 如 果 我 声称 来 自 微软 , 并 希望 你 下 载 一 个 名 为 file.txt 的 文件 ， 
那么 你 能 根据 上 面 所 讲 的 URL 知识 来 判断 下 列 网 址 中 哪些 属于 微软 ， 而 哪些 有 潜在 
威胁 吗 ? 





























口 http://microsoft.com/file.txt 

口 http://secure-microsoft.com/file.txt 
口 https://secure.microsoft.com/file.txt 
Q) http://microsoft.com/secure/file.txt 





O http://rnicrosoft.com/file.txt 





你 觉得 你 做 得 怎么 样 ? 下 面 对 每 一 个 网 址 进行 了 分 析 。 


口 第 一 个 网 址 是 合法 的 ,虽然 它 缺 少 了 www, 但 它 确实 指向 了 一 个 真实 的 微软 网 址 。 
口 要 小 心 对 待 第 二 个 网 址 ， 它 可 能 并 不 属于 微软 ， 因 为 secure-microsoft.com 中 的 “-” 
表示 它 和 微软 (microsoft.com ) 的 域名 完全 不 同 。 

口 第 三 个 网 址 是 安全 的 。 它 属于 合法 公司 ,并 且 文 件 位 于 安全 的 https 服务 器 上 o secure 
子 域 名 是 隶属 于 微软 的 域名 的 。 第 二 个 网 址 则 试图 伪装 成 一 个 安全 网 址 , 但 实际 上 
使 用 了 “-” 而 不 是 “.” 来 分 割地 址 。“.” 意 味 着 该 子 域名 属于 主 域名 ， 而 “-” 指 
一 个 全 新 的 域名 ， 因 此 第 二 个 网 址 是 不 可 信 的 。 

口 第 四 个 网 址 也 是 合法 的 。 它 只 是 位 于 下 一 级 域名 。 

口 第 五 个 域名 很 有 迷惑 性 ， 不 是 吗 ? 看 仔细 了 ， 并 不 是 m-i-c-r-0-s-0-ft， 而 是 

r-n-i-c-r-0-s-0-f-to 把 小 写 的 R 和 小 写 的 NN 放 在 一 起 时 ,如 果 靠 得 足够 近 且 字体 合适 ， 

那么 它们 看 上 去 就 像 一 个 小 写 的 M。 












































































































































恶意 钓鱼 攻击 者 还 有 很 多 引诱 受害 者 点 击 链接 的 手段 ， 这 也 是 为 什么 学 习 解 析 URL 
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是 如 此 重要 的 原因 。 


这 里 讲 一 个 我 的 人 生 中 很 重要 的 故事 。 有 人 雇用 我 进行 钓鱼 攻击 。 是 的 ， 你 没 看 错 。 
正如 前 面 所 提 到 的 ， 截 至 你 阅读 这 本 书 时 ， 我 这 一 年 内 已 经 发 送 了 超过 300 万 封 钓 鱼 
邮件 。 这 个 数目 很 庞大 。 






































虽然 如 此 ， 封 钓 鱼 邮 件 都 是 应 客户 要 求 而 发 送 的 ， 以 帮助 他 们 对 员工 进行 培训 ， 
我 自己 也 在 安全 培训 课程 中 把 钓鱼 邮件 作为 课程 的 一 部 分 。 我 并 不 会 从 其 他 人 那里 穷 
取 什么 东西 ， 也 不 会 清空 他 们 的 银行 账户 或 者 毁 掉 他 们 的 人 生 。 




















还 记得 第 1 章 里 我 访问 的 假冒 亚马逊 网 站 吗 ? 我 是 说 那 封 钓鱼 邮件 , 我 已 经 发 送 超过 
300 万 封 钓鱼 邮件 了 一 一 我 难道 不 该 察觉 到 那 是 一 封 钓鱼 邮件 吗 ? 我 本 该 知道 的 ， 但 
是 我 差点 就 上 当 了 。 你 知道 是 什么 救 了 我 吗 ? URL 解析 , 因为 发 送 给 我 的 邮件 里 网 址 
是 以 .mu 结尾 的 ,所 以 我 察觉 到 这 是 一 个 假冒 的 亚 马 撑 网 站 ,即使 它 的 页 面 和 真 的 一 样 。 












































即使 是 有 经 验 的 安全 专家 也 会 犯错 ， 但 是 接受 相关 培训 ， 例 如 URL 解析 ， 可 以 帮助 
你 降低 遭受 侵害 的 风险 。 


攻击 者 是 如 何 绕 过 防御 的 


和 前 面 描述 的 悬 停 一 样 ， 攻 击 者 可 以 购买 一 些 看 起 来 合法 的 域名 。 这 些 域名 和 真实 域 
名 越 是 相近 ， 你 就 越 容易 相信 它 是 真 的 。 




















攻击 者 也 可 以 购买 一 些 看 起 来 相近 的 域名 。 再 次 强调 ，secure-DOMAIN.com 是 一 个 不 
EJF DOMAIN.com 的 新 域名 ， 但 如 果 它 以 一 个 合法 的 名 称 结尾 ， 那 么 受害 者 就 可 能 
认为 这 是 合法 的 网 址 。 





























同样 ， 黑 客 会 攻击 全 球 范围 内 的 服务 器 ， 然 后 利用 这 些 合法 服务 吉 来 发 送 钓鱼 邮件 。 
ABET ob, HAREM. EA URL 解析 可 以 帮助 你 免 受 其 害 。 





























运用 批判 性 思维 ， 点 击 前 停 下 来 想 一 想 ， 以 及 问 自己 一 些 分 析 性 问题 ， 这 些 方法 都 可 
以 帮助 你 从 容 应 对 。 还 有 就 是 记 住 ， 如 果 你 已 经 采取 了 错误 的 行动 ， 请 及 时 上 报 相 关 
部 门 。 





> 
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4.4 第 四 课 : 分 析 邮 件 头 


e 分 类 : 专业 


Mae 














本 节 提 供 的 是 专业 建议 ， 因 为 它 深入 分 析 了 邮件 来 源 。 如 果 你 对 邮件 头 不 熟悉 ,那么 
本 节 内 容 并 不 适合 你 。 由 于 有 大 量 的 邮件 服务 商 存 在 ， 我 无 法 告诉 你 如 何 定位 每 家 服 
务 商 的 邮件 头 ， 但 是 我 可 以 告诉 你 它们 是 什么 ， 以 及 你 可 以 如 何 利用 它们 。 


你 可 以 在 你 选 定 的 搜索 引擎 中 输入 Email headers in < 服务 商 名 称 > 来 弄 清 楚 你 自 
己 的 服务 商 的 邮件 头 。 





回 到 GPS 地 址 的 类 比 。 你 来 我 家 之 后 , 我 可 以 查看 你 的 行程 的 历史 记录 来 确定 你 是 走 
的 哪 条 路 线 。 如 果 你 告诉 我 你 走 的 是 第 一 条 路 线 , 但 是 GPS 显示 你 花 了 大 量 时 间 在 第 
二 条 路 线 上 ， 那 么 我 就 知道 你 迷路 了 或 者 换 了 一 条 路 过 来 。 











邮件 头 与 此 类 似 ， 它 们 可 以 告知 你 邮件 是 如 何 到 达 你 的 邮箱 的 。 来 看 看 我 在 写 这 一 章 
时 收 到 的 一 封 邮件 。 这 封 邮件 声称 来 自 达 美 航空 公司 (Delta Airlines )， 并 说 我 的 航空 
里 程 账户 有 异常 情况 需要 注意 。 








让 我 们 看 看 能 否 根 据 邮 件 头 来 判断 邮件 的 真 假 。 邮 件 头 如 图 4-6 所 示 。 





SkyBonus <skybonus@e.delta.com> 

To: chris@social-engineer.com Chris 

Reply-To: SkyBonus <support-b9f4rtybgyfvyjauze964qcgcvq1ey@e.delta.com> 

Delivered-To: chris@social-engineer.com 

Received: by 10.76.159.162 with SMTP id xd2csp2046170ab; Mon, 8 Sep 2014 15:03:44 -0700 (PDT) 

Received: from mta602.e.delta.com (mta602.e.delta.com. [38.100.169.66]) by mx.google.com with ESMTP id 
$3si159525840bf.68.2014.09.08.15.03.44 for «chris 'social-engineer.com»; Mon, 08 Sep 2014 15:03:44 -0700 (PDT) 
X-Received: by 10.60.93.66 with SMTP id cs2mr352647770eb.34.1410213824746; Mon, 08 Sep 2014 15:03:44 -0700 
(PDT) 

Return-Path: «bo-b9f4rtybgyfvyjauze964qcgcvq1ey G b.e.delta.com» 

Received-Spf: pass (google.com: domain of bo-b9f4rtybgytvyjauze964qcgcvqley@b.e.delta.com designates 
38.100.169.66 as permitted sender) client-ip-38.100.169.66; 

Authentication-Results: mx.google.com; spf-pass (google.com: domain of bo- 
b9f4rtybgyfvyjauze964qcgcvq ey @b.e.delta.com designates 38.100.169.66 as permitted sender) smtp.mail=bo- 
b9f4rtybgytvyjauze964qcgcvq1 ey @b.e.delta.com; dkim-pass header.i=@e.delta.com; dmarc-pass (p-QUARANTINE 
dis=NONE) header.from=e.delta.com 

Dkim-Signature: v=1; a-rsa-sha256; c=relaxed/relaxed; d=e.delta.com; s-20111007; t=1410213824; x=1425852224; 
bh=n3Bi59kfRgesEiihAa7OUfYB1N1 Thbw48mWQs9A0m+x8=; h=From:Reply-To; b=na90z4QbLzz 
*WWJcC8Yr9QiKrOjAV85X«sso7j2seco90dKG4wtUNm9D/2ZLtJ9T5 KXWQPhObJiVis3cSAQuUOhyQuNXrxM YomeQP/ 
uCcyyHMuSmadyYWZQnrJS5ncqQIMK tq TxiBQDMUj4qoGXdsbLksOMqmo1TLIQGI4Z9kKAA= 

Domainkey-Signature: a-rsa-sha1; q=dns; c=nofws; s=200505; d-e.delta.com; 
b-iP1nitMBnstdGiMateWZEsGY413lJks5JM3otnDXi9n4x 

+4mtUh11 VH9aXfoNeAsud5I7AGSpu8BzFvSqn3upQlixj7mGxuHS3WyZp5Ce2n+nWoToywylz+Qyz+dDZiqéH 
+4IXvridsL60VkWSGTXkV6jDnSWNh6tZBK TcwBwYM=; h-Date:Message-ID:List-Unsubscribe:From:To:Subject:MIME- 
Version:Reply-To:Content-type; 

Message-Id: «b9f4rtybgyfvyjauze964qcgcvq1 ey.147055481 04.3047 @mta602.e.delta.com> 

List-Unsubscribe: «mailto:rm-Ob9f4rtybgyfvyjauze964qcgcvq1ey @e.delta.com> 

Mime-Version: 1.0 

Content-Type: multipart/alternative; boundary-"-b9f4rtybgyfvyjauze964qcgcvq1 ey" 

Important Information Regarding your Account 











Fd 4-6 好 的 邮件 头 还 是 坏 的 邮件 头 





如 果 你 像 我 一 样 对 图 4-6 所 示 的 内 容 感到 很 困惑 ， 那 么 你 可 以 看 看 表 4-1， 它 把 邮件 
头 内 容 拆 分 开 来 ， 这 样 可 以 看 得 清楚 一 些 。 


44 第 四 课 : 分 析 邮 件 头 | 79 








表 4-1 拆 分 后 的 Delta.com 邮件 头 
邮件 头 属性 名 称 fü 





To ( 发 送 至 ) chris@social-engineer.com Chris<chris@ 
social-engineer.com> 





Reply-To (回复 至 ) SkyBonus <support-b9f4rtybgyfvyjauze964 
qcgcvqley@e.delta.com> 

Delivered-To (已 发 送 至 ) chris@social-engineer.com 

X-Received ( 邮件 来 源 ) by 10.60.93.66 with SMTP id cs2mr3526 


47770eb.34.1410213824746; Mon, 08 Sep 
2014 15:03:44 -0700 (PDT) 





Return-Path (返回 路 径 ) <bo-b9f4rtybgyfvyjauze964qcgcvqley@b.e. 
delta.com> 


Received-Spf (发 件 人 SPF?) pass (google.com: domain of 
bo-b9f4rtybgyfvyjauze964qcgcv 
qley@b.e.delta.com designates 


38.100.169.66 as permitted sender) 
client-ip=38.100.169.66; 





Authentication-Results mx.google.com; spf=pass (google.com: 
(身份 认证 结果 ) domain of bo-b9f4rtybgyfvyjauze964 





qcgcvqley@b.e.delta.com designates 
38.100.169.66 as permitted sender) 
smtp.mail=bo-b9f4rtybgyfvyjauze964 
qcgcvqleyGb.e.delta.com; dkim-pass 
header.i=@e.delta.com; dmarc=pass 
(p=QUARANTINE dis=NONE) header. from=e. 
delta.com 


Dkim-Signature (DKIM v=1; asrsa-sha256; d=relaxed/ 

AE) relaxed; dze.delta.com; s-20111007; 
t-1410213824; x-1425852224; bh-n3 
Bl59kfRgesEiihAa7OufYBl1N1Tbw48mW 
Qs9A0m+x8=; h=From:Reply-To; b-n 
a90z4QbLzz+WWIcC8Yr9QiKrOjAV85X+ 
sso7j2seco90dKG4wt UNm9D/2ZLtJ9T5 
KXWOQPhHObJiVis3c5AouU0hyQuNXrxMYomeQP/ 
uCcyyHMuSmadyYWZQnrJS5ncqQlMK 
tqTxi80DMUj4qoGXdsbLksOMqmol1TliQGl4Z9kAA- 


Domainkey-Signature (域名 a-rsa-shal; q-dns; c-nofws; s=200505; 

密 钥 签名 ) d=e.delta.com; DeLee BnstdGiMatewZE 
SGYA13IJks5JM3otnDXi9 n4x«4mtUhl1VH9aXf 
oNeAsud517AGSpu8BzFvSqn3upQliXj7mGxuHS 
3Wy Zp5Ce2n+nWoToywy1z+Oyz+dDZfq6éH+41Xv 
ridsL60VkWSGTXkV6jDnSWNh6tZBKTcwBwYM- ; 
h=Date:Message-ID:List- 
Unsubscribe:From:To: Subject :MIME- 
Version:Reply-To:Content-type; 























(D SPF 是 Sender Policy Framework ( 发 送 方 策略 框架 ) 的 缩写 ， 是 一 种 以 IP 地 址 认证 电子 邮件 发 件 人 
身份 的 技术 ， 被 用 来 识别 垃圾 邮件 。 一 一 译 者 注 
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邮件 头 属性 名 称 值 





Message-Id ( 信息 编号 ) 


<b9f4rtybgyfvyjauze964qce 
gcvqley.14705548104.3047G 
mta602.e.delta.com» 


List-Unsubscribe ( 退 订 «mailto:rm- 


信息 ”) 


0b9f4rtybgyfvyjauze964qcgcvqley@e. 
delta.com> 


Mime-Version ( MIME 版 本 ) 1.0 


Content-Type (内容 类 型 ) multipart/alternative; boundary="=b9f4r 


我 们 可 以 看 见 这 


tybgyfvyjauze964qcgcvqley" 





时 邮件 被 发 往 了 正确 的 地 址 ， 回 信 地 址 和 回复 人 都 清楚 地 指向 了 


delta.com, 我 们 也 可 以 在 域名 签名 和 信息 ID 上 看 见 aelta.com。 这 表明 邮件 是 来 
自 它 所 声称 的 合法 地 址 ， 这 也 意味 着 它 是 可 信和 的。 


在 我 收 到 Delta.com 的 邮件 同时 ， 我 也 收 到 了 如 图 4-7 所 示 的 一 封 邮件 。 它 给 我 提供 


了 一 份 健康 保险 优惠 。 


Paying too much for 
Health Insurance? 


Our simple forms and instant 
quotes can help you save money 
on your Health coverage. Lower 
your bills, use the nation's top 
providers and save money today! 


Get Free Health Quotes 


Lower Your Health Insurance Rates Today! 


If you no longer wish to receive correspondence or special offers from usinsuranceonline.com 
please use this link to unsubscribe. (22011 AllWebLeads.com. All Rights Reserved 
7801 N. Capital of Texas Highway, Austin, TX 78731. Privacy Policy 


ur 








图 4-7 所 谓 的 健康 保险 优惠 








D “EIA. 














息 ” 是 指 服务 器 提供 给 用 户 用 来 快速 退 订 邮 件 的 按钮 的 字段 。 一 一 译 者 注 











t 








ia 
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仅仅 只 需要 基 停 就 可 以 帮 我 识别 出 它 的 真 伪 了 , 但 是 让 我 们 来 看 看 邮件 头 吧 , 如 图 4-8 


Biz s 








USiInsurance <USIinsurance@frenbury.eu> 

To: logan@social-engineer.org Chris 

Delivered-To: logan@social-engineer.org 

Received: by 10.42.215.69 with SMTP id hd5csp584155icb; Thu, 11 Sep 2014 11:19:04 -0700 (PDT) 

Received: from 1d2e4wpsq.frenbury.eu (1d2e4wpsq.frenbury.eu. [74.199.201.16]) by mx.google.com with ESMTP id 
a93si2170300qge.120.2014.09.11.11.19.04 for «logan @social-engineer.org>; Thu, 11 Sep 2014 11:19:04 -0700 (PDT) 
Received: by 03510818.1d2e4wpsq.frenbury.eu (amavisd-new, port 10820) with ESMTP id O3XWWIA5108QVVLY18; for 
«logan @social-engineer.org>; Thu, 11 Sep 2014 11:19:05 -0700 

X-Received: by 10.140.90.42 with SMTP id w39mr3951809q9d.88.1410459544779; Thu, 11 Sep 2014 11:19:04 -0700 
(PDT) 

Return-Path: «USInsurance @frenbury.eu> 

Received-Spf: pass (google.com: domain of USInsurance @frenbury.eu designates 74.199.201.16 as permitted sender) 
client-ip=74.199.201.16; 

Authentication-Results: mx.google.com; spf=pass (google.com: domain of USInsurance @frenbury.eu designates 
74.199.201.16 as permitted sender) smtp.mail=USInsurance @frenbury.eu 

Content-Transfer-Encoding: 8bit 

Content-Language: en-us 

Mime-Version: 1.0 

Message-id: <5820885563631658201 301255298835 @ 1d2e4wpsq.frenbury.eu» 

Content-Type: text/html; charset="UTF-8" 

Health Insurance, no longer breaks the bank | Get no cost-oblig quotes from all the top companies here 








图 4-8 邮件 头 工 





在 不 提供 清晰 表格 的 情况 下 ， 你 能 从 中 看 出 什么 ?” 你 看 见 邮件 里 所 声称 的 域名 
(usinsuranceonline.com) HE? A, 取而代之 , 你 看 到 的 是 frenbury .eu 这 个 
域名 。 一 个 非 美国 的 网 站 会 给 我 提供 一 份 美国 保险 的 优惠 ， 这 有 点 奇怪 ， 对 吧 ? 看 看 





表 4-2 里 对 邮件 头 的 拆 分 吧 。 








324-2 拆 分 后 的 USInsurance 邮件 头 


邮件 头 属 性 名 称 


值 





To (发送 至 ) 


Delivered-To (已 发 送 至 ) 
X-Received ( 邮件 来 源 ) 





Return-Path (返回 路 径 ) 


Received-Spf (发 件 人 SPF ) 





Authentication-Results (身份 认证 结果 ) 





Content-Transfer-Encoding (邮件 编码 ) 





Content-Language ( 邮件 语言 ) 


logan@social-engineer.org Chris <logan@ 
social-engineer.org> 


logan@social-engineer.org 


by 10.140.90.42 with SMTP id w39mr395 
1809qgd.88.1410459544779; Thu, 11 Sep 
2014 11:19:04 -0700 (PDT) 


<USInsurance@frenbury.eu> 


pass (google.com: domain of 
USInsurance@frenbury.eu designates 
74.199.201.16 as permitted sender) 
client-ip=74.199.201.16; 


mx.google.com; spf=pass (google.com: 
domain of USInsurance@frenbury.eu 
designates 74.199.201.16 as permitted 
sender) smtp.mail=USInsurance@frenbury.eu 


8bit 


en-us 
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邮件 头 属性 名 称 





Mime-Version (MIME 版 本 ) 





Message-Id (信息 编号 ) 


Content-Type ( 内容 类 型 ) 


1.0 


«5820885563631658201301255298835G1d2e4w- 
psq.frenbury.eu» 


text/html; charset-"UTF-8" 








显然 邮件 头 中 的 域名 和 邮件 中 的 域名 训 不 相关 。 回 信 地 址 和 认证 结果 也 和 USInsurance 
无 关 ; 相反 ， 它 们 来 自 一 个 欧洲 站 点 。 一 个 安全 意识 强 的 人 会 对 此 产生 警惕 ， 如 果 这 
个 站 点 是 一 个 不 受信 任 或 未 知 的 来 源 ， 那 么 他 会 上 报 这 封 邮件 。 他 不 会 点 击 其 中 的 链 
































接 ， 而 是 会 删除 这 封 邮件 。 




















攻击 者 是 如 何 绕 过 防御 的 


仿 查 邮件 头 就 可 以 确保 安全 了 吗 ? 不。 正如 我 们 所 说 ， 有 些 钓鱼 邮件 攻击 附带 一 个 目 
的 : 对 网 络 进行 渗透 ， 然 后 获取 使 用 SMTP 服务 器 的 权限 。 为 什么 要 这 么 做 ? 






























































如 果 你 曾经 收 到 过 来 自 朋 友 的 邮件 ， 结 果 发 现 其 实 是 一 封 非法 邮件 ， 请 举 手 。( 有 多 


少 人 在 书 前 面 举 起 了 手 ? ) 




















IE WIR SIUR TED 3 章 中 提 到 的 , 朋友 可 以 很 容易 地 影响 我 们 。 钓鱼 攻击 者 知道 这 一 点 ， 
他 们 也 知道 要 让 你 以 为 这 封 邮件 是 你 信任 的 人 发 给 你 的 ， 从 而 让 你 信任 邮件 中 的 附 
件 、 链 接 或 者 文件 一 一 没有 比 这 刚好 的 办 法 了 。 























钓鱼 攻击 者 会 获得 合法 电脑 的 访问 权限 ， 并 使 用 它们 的 邮件 服务 器 来 给 所 有 的 联系 
人 、 好 友和 收 件 箱 里 其 他 随机 的 地 址 发 送 亚 意 邮 件 。 如 果 你 收 到 此 类 邮件 并 分 析 邮 件 


头 ， 那 么 你 会 看 到 什么 ? 


你 会 看 到 一 封 合 法 邮件 。 如 细 


























你 选择 试 着 去 分 析 邮 件 头 ， 仍 然 要 记 住 在 你 相信 任何 邮 


件 之 前 ， 你 都 要 思考 一 下 那些 批判 性 思维 的 问题 。 尽 管 分 析 邮 件 头 可 以 让 你 避免 点 击 
欺诈 邮件 ,但 是 并 不 能 100% 保 证 你 可 以 识别 出 所 有 的 欺诈 性 邮件 。 
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首先 ， 我 想 谈 谈 沙 盒 是 什么 ， 这 可 以 帮助 你 理解 为 什么 本 节 提 供 的 是 专业 建议 。 沙 金 
( sandboxing ) 是 一 个 科技 领域 的 名 词 ， 指 的 是 创建 一 个 可 以 运行 未 经 测试 或 者 不 受信 
任 的 代码 的 环境 。 这 些 代 码 可 能 包含 病毒 或 者 恶意 软件 ， 或 者 出 于 其 他 原因 而 不 可 信 
任 。 所 以 在 用 户 想 要 在 他 们 的 系统 或 网 络 中 使 用 它们 之 前 ， 他 们 可 以 拥有 一 个 几乎 对 
主机 没有 任何 影响 的 环境 来 执行 这 些 代码 。 这 个 概念 非常 简单 ， 图 4-9 是 沙 盒 的 一 个 
简单 示意 图 。 




















这 个 理论 很 棒 ， 它 对 很 多 威胁 都 有 效 。 我 曾 见 过 有 公司 把 所 有 收 到 的 邮件 集中 到 沙 盒 
中 进行 处 理 。 链 接 可 以 被 自动 系统 确认 ， 附 件 可 以 被 扫描 ， 甚 至 被 打开 。 只 有 确保 安 
全 之 后 ， 它 们 才 会 被 发 到 指定 人 员 那 里 。 








沙 盒 的 概念 很 聪明 , 也 很 高 明 。( 在 iOS 和 Android 平台 上 都 有 沙 盒 应 用 , 可 以 用 来 打 
开 邮 件 中 的 附件 而 不 影响 手机 本 身 。) 一 般 来 说 普通 家 庭 或 者 小 型 企业 根本 想不到 可 
以 使 用 沙 盒 。 





不 受 限制 无 法 访问 


不 受 限制 


全 


图 4-9 简化 的 沙 盒 


TOE P» 





很 多 大 公司 使 用 虚拟 机 来 创建 沙 盒 。 这 种 环境 允许 一 个 基于 任何 操作 系统 的 “虚拟 ” 
的 电脑 运行 ， 因 此 邮件 和 其 他 应 用 都 可 以 在 上 面 测试 以 确定 其 安全 与 否 。 
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尽管 我 不 会 讲 如 何 建立 一 个 沙 盒 ( 因为 那 并 不 是 这 本 书 的 目的 )， 但 我 想 提 及 它 作 为 
一 种 可 行 的 防止 人 们 遭受 钓鱼 攻击 的 手段 。 























攻击 者 是 如 何 绕 过 防御 的 

我 在 写作 本 章 时 读 到 了 一 个 故事 ,故事 是 关于 邮件 中 附带 的 茶 种 来 源 于 一 个 叫 Quarian 
的 组 织 的 恶意 软件 。 这 种 恶意 软件 于 2011 年 在 附件 中 被 发 现 ， 能 伪装 成 PDF、DOC 
或 者 XLS 文件 。 这 个 组 织 主 要 是 对 政府 部 门 进 行 鱼 又 式 钓鱼 攻击 。 




















现在 看 来 ，Quarian 又 回来 了 ,并 升级 成 了 一 个 更 邪恶 的 版 本 。 这 个 新 版 本 包含 了 一 
些 需 要 注意 的 功能 。 











自动 安装 成 一 个 Windows 服务 ， 不 再 只 是 一 个 运行 程序 。 
通过 运行 一 系列 的 命令 连接 到 国外 的 服务 器 来 下 载 有 效 载 荷 。? 
依赖 AppID 或 者 命令 行 交 互 ， 因 此 它 不 会 被 沙 金 检测 到 。 




















另外 ， 六 年 多 以 前 我 和 马 蒂 . 阿 哈 罗 尼 (Mati Aharoni ) 一 起 工作 ， 他 是 BackTrack 
(现在 的 Kali Linux ) 的 安全 专家 和 创始 人 ,他 给 我 展示 了 一 种 能 通过 虚拟 机 直接 感染 
主机 的 恶意 软件 。 








这 意味 着 什么 ? 攻击 者 变 得 更 聪明 了 , 他 们 正在 学 习 如 何 绕 过 这 种 我 们 用 来 抵御 他 们 
攻击 的 方法 。( 以 五 倍 语 速 再 说 一 遍 。) 





我 认为 有 一 条 规则 与 任何 人 的 因素 所 导致 的 问题 的 技术 解决 方案 相通 ， 那 就 是 :“ 仅 
仅 依靠 技术 ， 并 不 能 让 你 免 于 社会 工程 人 员 的 攻击 。 





与 很 多 我 们 所 看 到 和 提出 的 好 主意 相 比 ， 我 和 米 歇 尔 也 曾 遇 到 过 很 多 非常 糟糕 的 主 
意 。 下 一 节 我 们 会 来 讨论 这 些 主意 以 及 它们 为 什么 那么 糟糕 。 











CD 病毒 通常 会 做 一 些 有 害 的 或 者 恶性 的 动作 。 在 病毒 代码 中 实现 这 个 功能 的 部 分 叫 作 “ 有 效 载荷 ”。 
译 者 注 
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4.6 “绵羊 墙 ”或 者 坏 主意 陷阱 


很 多 概念 表面 上 上 听 起 来 很 棒 ， 可 以 保证 员工 的 安全 ， 其 中 有 些 甚 至 有 希望 成 功 ， 但 是 
我 们 将 其 归 为 “ 坏 主 意 ”一 类 。 
































下 面 是 一 些 我 们 听 说 过 的 在 公司 使 用 过 的 坏 主 意 ， 本 节 会 谈 谈 它们 是 怎么 回 事 ,以 及 
为 什么 它们 次 大 于 利 。 
4.6.1 复制 粘贴 ， 麻 烦 解 决 


一 条 我 在 一 家 公司 的 培训 课程 上 亲眼 目睹 过 的 建议 是 :“ 如 果 你 不 确定 你 在 邮件 中 收 
到 的 链接 是 否 安 人 全， 那么 选中 它 ， 然 后 复制 并 粘贴 到 浏览 器 的 地 址 栏 中 。 


























我 很 确定 你 们 会 立刻 明白 ,为 什么 这 一 建议 会 名 列 史上 最 糟糕 建议 的 前 茅 。 但 以 防 万 
一 ， 我 们 来 分 析 一 下 。 如 果 你 收 到 一 封 钓鱼 邮件 ， 里 面 附 有 一 个 链接 www.superbad- 
hackingsitethatwillruinyourlife.com， 你 选中 它 ， 然 后 复制 、 粘 贴 ， 那 么 你 猜 你 会 进入 
哪个 页 面 ? 是 的 ， 你 猜 对 了 你 仍然 访问 的 是 www.superbadhackingsitethatwillruin- 


yourlife.com。 





























“但 是 ,” 你 会 说 ,“ 如 果 URL 看 起 来 像 是 www.microsoft.com， 而 它 所 指向 的 网 站 是 
一 个 亚 意 网 站 ， 那 么 复制 粘贴 不 就 会 失效 吗 ? ” 





























是 的 ， 从 技术 上 来 说 ， 如 果 你 让 你 的 用 户 只 是 复制 那 段 文本 ,那么 他 们 会 访问 的 就 是 
那个 文本 所 示 的 网 站 。 但 是 如 果 用 户 误 点 了 那个 链接 而 不 是 复制 ， 或 者 他 们 错误 地 选 
择 了 右键 复制 那个 链接 而 不 是 选中 复制 , 或 者 他 们 做 了 上 述 两 件 事 的 组 合 ， 他 们 仍然 
会 访问 到 一 个 恶意 网 站 ， 并 有 可 能 将 恶意 软件 带 入 到 你 的 网 络 中 来 。 






































所 以 说 , 安全 起 见 , 我 们 告诉 普通 用 户 不 要 点 击 链接 。 不 要 靠近 它 。 不 要 复制 粘贴 它 。 
除非 你 非常 熟悉 如 何 解 码 URL， 否 则 不 要 试 着 分 析 它 。 


46.2 ”分 享 也 是 关照 


另外 一 个 主意 是 这 样 的 :“ 我 刚 收 到 一 封 邮 件 ， 我 认为 可 能 是 钓鱼 邮件 。 我 把 它 转发 
给 我 的 最 懂 电 脑 技 术 的 五 位 朋友 ， 这 样 他 们 就 能 告诉 我 这 是 不 是 钓鱼 邮件 了 。” 
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如 果 你 这 么 做 了 ,那么 你 所 做 的 就 是 转发 了 一 个 有 潜在 危险 的 恶意 邮件 给 了 五 位 朋 
友 。 如 果 这 些 朋 友和 你 在 同一 家 公司 工作 ， 那 么 你 可 能 在 公司 里 散布 了 潜在 的 威胁 。 
如 果 他 们 在 男 一 家 公司 工作 , 你 可 能 传播 了 病毒 , 帮 社 会 工程 人 员 做 了 他 们 想 做 的 事 。 











上 面 这 个 主意 和 这 个 说 法 很 类 似 :“ 我 认为 我 感冒 了 。 我 要 去 向 我 的 五 个 朋友 咳嗽 ， 
如 果 他 们 也 感冒 了 ， 那 么 我 就 可 以 确认 我 确实 感冒 了 。 

















在 一 次 审计 中 ， 我 做 了 一 下 USB 密 钥 遗 失 测试 。 我 们 在 USB 密 钥 中 放置 了 一 个 PDF 
文件 ， 这 个 文件 的 功能 是 “给 家 里 打 电 话 ”。 它 在 连接 我 们 的 服务 需 后 ， 会 连接 到 一 
个 Metasploit" 服 务 器 上 ， 并 给 我 们 一 个 远程 shell ( 或 者 说 对 用 户 电 脑 的 远程 连接 )。 
这 个 PDF 文件 被 命名 为 EmployeeBonuses ( 员工 奖金 ) .PDF。 




















我 们 把 这 个 USB 设备 放 在 事先 约定 好 的 地 方 ， 然 后 回 到 办 公 室 。 等 我 们 回去 时 ， 我 
们 已 经 有 七 个 shell 了 。 我 们 知道 我 们 只 放置 了 一 个 设备 。 我 们 开始 寻找 shell 所 处 的 
单位 ， 然 后 在 人 事 部 门 、IT 部 门 以 及 同一 部 门 的 其 他 地 方 发 现 了 它们 。 








我 们 感到 疑惑 不 解 吗 ? 是 的 , 但 我 们 也 很 高 兴 , 因为 这 下 我 们 有 很 多 系统 可 以 选择 了 。 
随后 我 们 询问 了 一 下 发 生 了 什么 ， 于 是 我 们 被 告知 当 第 一 个 人 试 着 打开 Employee- 
Bonuses.PDF 文件 时 , 文件 月 演 了 ,于 是 他 拿 着 这 个 USB 设备 去 了 他 在 人 事 部 门 的 一 
位 技术 更 高 明 的 朋友 那里 。 当 文件 在 第 二 个 人 那里 崩 演 时 ， 他 们 拿 着 它 去 了 IT BD] 
的 一 位 朋友 那里 ,这 位 朋友 在 他 的 三 台电 脑 上 尝试 打开 这 个 文件 。 最 后 ， 这 位 人 事 部 
门 员 工 非 常 诅 丧 地 随便 找 了 一 个 人 ， 说 :“ 试 试 打开 这 个 。” 然后 这 位 员工 照 做 了 。 












































本 质 上 来 说 ， 这 些 人 在 试图 打开 这 个 文件 看 看 他 们 的 奖金 时 把 它 传播 到 了 整个 公司 
里 。 在 这 种 情况 下 ， 分 享 并 非 是 一 种 关照 ,尽管 你 的 祖母 可 能 告诉 过 你 乐于 分 享 的 好 
处 。 可 疑 的 钓鱼 邮件 也 是 同 理 。 硕 望 你 的 公司 有 一 套 设计 好 的 方法 来 报告 钓鱼 邮件 。 
如 果 没 有 ， 赶 快 给 我 打 电 话 吧 。 























4.6.3 ”移动 设备 是 安全 的 
我 曾 无 意 间 听 到 有 人 这 么 对 另外 一 个 人 说 :“ 如 果 你 认为 这 是 一 封 恶意 邮件 ， 那 么 就 








(D Metasploit 是 一 款 开源 的 安全 漏洞 检测 工具 。 一 一 译 者 注 
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在 你 的 <iPad/iPhone/Android 设备 /Windows 移动 设备 /其 他 移动 设备 > 上 打开 它 。 它 们 不 
会 像 你 的 电脑 一 样 感染 病毒 的 。 











听 完 这 话 后 我 有 些 无 言 以 对 , 我 礼貌 地 对 那个 人 解释 说 如 今 已 经 有 很 多 针对 手机 的 恶 
意 软件 和 病毒 了 。 我 纠正 了 他 错误 的 概念 ， 并 告诉 他 这 么 做 是 多 么 危险 ， 以 及 为 什么 
说 这 是 一 个 巨大 的 威胁 的 原因 。 








让 我 们 更 进一步 。 想 想 假如 你 的 公司 允许 BYOD (bring your own device， 自 带 设 备 )， 
然后 你 的 一 位 客户 把 他 所 有 的 垃圾 邮件 都 发 到 他 的 iPad 上 了 , 这样 他 就 可 以 用 他 所 认 
为 的 个 人 沙 盒 打 开 它 们 了 。 现 在 他 带 着 他 的 设备 来 到 你 的 办 公 室 ， 然 后 他 做 了 什么 ? 
把 设备 连接 到 你 们 公司 的 网 络 里 。 




















这 下 你 的 公司 网 络 布 满 了 病毒 。 在 移动 设备 上 打开 恶意 邮件 绝对 是 你 想 要 立刻 抛弃 的 
“建议 ”之 一 。 








4.6.4 好 的 反 病 毒 软件 可 以 拯救 你 
反 病 毒 , 顾名思义 ， 它 试 着 阻止 病毒 。 它 是 如 何 做 到 的 呢 ? 病毒 有 自己 的 签名 一 这 
是 一 种 病毒 内 存在 的 一 系列 起 指纹 作用 的 代码 。 就 像 你 的 指纹 可 以 用 来 识别 你 的 身份 
一 样 ， 病 毒 的 指纹 也 可 以 用 来 识别 病毒 。 



































这 些 病 毒 的 指纹 被 放 进 了 反 病 毒 软 件 的 数据 库 中 , 然后 反 病毒 软件 对 你 的 电脑 进行 扫 
描 。 如 果 发 现 某 个 网 页 、 文 件 、 文 件 夹 或 者 程序 有 这 些 指纹 ， 那 么 反 病毒 软件 就 会 清 
除 它 ， 以 确保 它 不 会 造成 进一步 的 破坏 。 











RR, 不 是 吗 ? 是 的 。 但 是 反 病 毒 软件 是 管理 软件 ， 而 不 是 安全 软件 。 反 病毒 软件 可 
以 帮助 你 识别 出 已 知 签 名 的 病毒 。 但 如 果 病 毒 是 新 出 现 的 ， 还 没有 登记 指纹 呢 ? 如 果 
病毒 使 用 多 态 shellcode ( shellcode 会 在 每 次 载 人 时 改变 自己 的 签名 ) 呢 ? 























你 认为 我 过 于 夸张 了 吗 ? 我 是 在 谈 某 种 科幻 的 东西 吗 ? 不 。 我 的 好 朋友 大 卫 ' 肯尼迪 ， 
一 个 叫 作 SET ( Social-Engineer Toolkit， 社 会 工程 人 员工 具 包 ) 的 渗透 测试 工具 的 开 
发 者 ， 就 做 到 了 这 一 点 。 他 使 用 这 款 工具 进行 的 攻击 每 次 都 会 使 用 相同 的 shellcode， 
但 是 大 多 数 时 候 ， 所 有 的 反 病 毒 软件 都 无 法 检测 出 来 。 如 果 好 人 可 以 这 么 做 ， 那么 我 
们 可 以 假设 坏人 也 在 这 么 做 。 这 是 和 否 意 味 着 你 应 该 放弃 反 病 毒 软 件 ， 不 再 浪费 钱 购买 
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它们 了 ? 不 ， 当 然 不 是 。 继 续 使 用 反 病毒 软件 吧 ， 因 为 它 能 抓 住 那些 已 经 流行 了 一 阵 
子 的 讨厌 的 病毒 ， 但 是 不 要 把 它 当成 救世 主 ， 因 为 它 不 能 帮助 你 抵御 有 特别 目的 的 攻 
id. 

















4.7 总 结 


最 后 一 节 谈 到 了 shellcode ， 这 使 我 想起 了 一 个 编码 工具 一 一 一 个 人 们 可 以 通过 对 
shellcode 进行 编码 来 给 它 一 个 全 新 签名 的 小 程序 Shikata Ga Nai。 这 是 一 个 多 态 编 
码 工具 ， 名 字 来 源 于 日 文 ， 意思 是 “无 事 可 做 ”， 也 可 以 翻译 成 “没有 希望 ”。 在 回顾 
我 们 前 面 几 节 中 所 谈 到 的 内 容 后 ， 你 可 能 会 感觉 shikata ga nai， 但 是 不 要 担心 。 我 的 
目标 就 是 让 你 找 回 一 些 希 望 。 












































此 处 列举 一 下 目前 我 们 所 知道 的 一 切 。 


口 坏人 更 高 明 、 坚 定 和 努力 。 他 们 似乎 领先 于 你 ， 并 依靠 你 的 弱点 取胜 。 

Q 仅仅 依靠 技术 是 救 不 了 你 的 ， 技 术 也 不 应 该 被 视 作 社会 工程 学 的 解决 方案 。 

a 钓鱼 攻击 是 真正 的 威胁 , 一 种 会 让 你 失去 你 的 银行 账户 信息 或 者 国家 机 密 ， 以 及 介 
于 二 者 之 间 的 所 有 东西 的 威胁 。 

口 如 果 你 的 工作 是 确保 公司 安全 ， 那 么 你 需要 找到 那些 给 你 出 坏 主意 的 人 并 清除 它 
们 …… 我 是 指 ， 清 除 掉 坏 主意 ， 而 不 是 人 。 






































如 果 所 有 这 些 都 做 到 了 ， 那 么 你 还 能 做 些 什么 ? 





教育 是 解决 问题 的 关键 。 你 必须 与 公司 一 起 努力 来 进行 持久 的 、 定 期 的 、 基 于 真实 案 
例 的 教育 ， 要 让 员工 有 根深 带 固 的 观念 ， 并 创建 安全 意识 文化 。 











现在 你 可 能 会 说 :“ 我 让 所 有 员工 参与 30 分 钟 或 者 60 分 钟 的 机 考 ， 我 给 他 们 足够 长 
时 间 的 测试 , 我 每 个 月 给 他 们 发 送 长 达 五 页 的 安全 知识 邮件 , 但 是 他 们 就 是 学 不 进去 。 
所 以 ,教育 没 用 !” 











我 同意 你 的 观点 。 这 种 教育 的 确 没 用 。 你 每 天 收 到 多 少 封 邮件 ?50 封 、100 封 、200 
封 ? 你 有 一 份 全 职工 作 吗 ? 现在 要 你 把 会 议 、 电 话 、 报 告 、 个 人 邮件 、 个 人 问题 、 工 作 
压力 都 放 到 一 边 ， 去 参加 一 个 60 分 钟 的 强制 性 机 考 ， 你 认为 大 多 数 人 对 此 会 怎么 想 ? 
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我 可 以 告诉 你 , 但 是 你 可 能 不 想 听 。 这 种 感觉 就 像 听见 钱 在 火炉 里 燃烧 一 样 。 





这 
这 个 问题 的 答案 并 非 像 你 想象 的 那样 糟糕 ， 也 并 非 要 你 对 所 有 的 用 户 进行 重新 编程 ， 
解 座 所 有 人 ， 然 后 重 回 纸 笔 工作 。 

















第 5 章 就 是 围绕 着 这 一 主题 展开 的 。 


453 
规划 钩 值 攻击 旅程 : 开展 企业 钓 值 
攻击 项 目 


“BAR, X LAA«Meed 没有 尝试 的 余地 。” 
一 一 尤 达 (Yoda), 《星球 大 战 $5: 帝国 反击 战 》 























目前 为 止 你 已 经 读 了 前 四 章 ， 你 可 能 会 说 :“ 好 了 , 我 明白 你 的 意思 了 , 并且 100% 同 
意 你 的 观点 …… 那 么 然后 呢 ? ” 


无 论 你 相信 与 否 , 我 每 天 都 碰 到 你 这 样 的 人 。 凡 是 关注 这 世界 正在 发 生 什么 的 公司 都 
会 意识 到 对 安全 的 需求 。 他 们 知道 几乎 每 一 起 攻击 中 都 会 用 到 钓鱼 邮件 、 请 音 钓 鱼 和 
社会 工程 学 ， 他 们 也 不 想 成 为 报纸 上 的 下 一 个 统计 数据 。 














很 多 安全 专家 都 会 在 谷歌 上 快速 搜索 ,查看 哪 种 手段 被 用 得 最 多 。 很 快 他 们 就 会 发 现 
钓鱼 攻击 几乎 总 是 位 居 榜 首 。 下 一 步 他 们 就 开始 搜索 钓鱼 攻击 教育 培训 。 























一 家 公司 可 能 会 告诉 你 :“ 只 需要 使 用 我 们 的 模板 ,你 会 大 吃 一 惊 的 。” 男 一 家 可 能 会 
说 :“ 你 必须 在 吓 晓 员工 这 方面 强硬 一 些 。” 然 而 又 有 一 家 可 能 提出 这 种 建议 :“ 你 让 
他 们 篮 众 或 者 出 丑 ， 他 们 就 能 学 会 。 第 四 家 可 能 又 会 说 :“ 维 持 教 育 和 一 种 健康 的 恐 
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惧 之 间 的 平衡 是 最 好 的 。 
你 会 如 何 选择 ? 你 该 如 何 判断 哪 种 方式 最 有 帮助 ? 





正如 第 4 章 所 提 到 的 , 我 和 米 吹 尔 仅 在 去 年 就 已 经 发 送 了 一 一 准备 好 了 吗 ? 超过 
300 万 封 钓鱼 攻击 邮件 。 在 这 些 钓鱼 攻击 邮件 的 基础 上 ， 我 们 收集 了 目前 为 止 最 好 、 
最 坏 和 最 条 的 主意 。 

















本 章 的 目的 是 概括 我 们 用 来 帮助 客户 降低 钓鱼 攻击 邮件 点 击 率 的 办 法 ,他 们 的 钓鱼 邮 
件 点 击 率 几 年 内 从 超过 80% 降 低 到 了 5%。 本 章 的 内 容 基于 这 儿 年 的 培训 课程 ,经 过 
尝试 和 测试 ， 现 在 我 们 把 它 呈 现 给 你 。 














说 明 ”点击 率 代 表 的 是 雇员 点 击 钓 鱼 邮 件 的 比例 。 

















但 是 这 里 有 一 个 问题 : 我 是 专门 出 售 公司 钓鱼 保护 项 目的 。 所 以 我 该 如 何 讲述 所 有 这 
些 知 识 并 教 你 如 何 保护 你 或 你 的 公司 , 还 能 使 这 一 切 听 起 来 不 像 是 销售 宣传 呢 ? 我 和 
米 欣 尔 讨 论 了 很 多 个 下 午 ， 最 后 我 们 提出 了 一 个 好 办 法 。 





我 们 花 了 很 多 年 来 制订 和 测试 这 套 培训 。 现 在 我 们 对 它 进 行 了 重新 改良 , 使 你 能 尽快 
上 手 ， 这 样 我 们 就 能 帮助 尽 可 能 多 的 人 来 准备 好 这 场 与 钓鱼 攻击 市 场 进行 的 战争 。 








说 明 我 曾经 在 中 国 做 过 一 些 工 作 ， 并 参观 了 厂商 推销 产品 的 大 市 场 。 我 一 直 把 一 
则 建议 记 在 心中 : 我 被 告知 会 有 很 多 人 试图 让 我 买 他 们 的 产品 ， 而 我 要 做 的 
仅仅 就 是 说 “不 好 ”。 结 果 在 我 回绝 后 ， 随 着 我 走 远 ， 那 些 厂商 不 断 降低 他 们 
的 价格 。 这 简单 的 两 个 字 让 我 省 下 了 上 百 美元 。 


本 章 的 目标 是 告诉 你 我 在 最 近 这 些 年 里 学 到 的 一 些 东 西 。 这 样 一 来 ， 你 花 在 
“市 场 ”里 的 时 间 会 更 少 一些 ， 但 收获 会 更 大 一 些 。 


首先 我 们 来 看 一 些 基础 问题 ， 然 后 我 们 将 一 起 开展 项 目 ， 最 后 会 概览 一 下 在 公司 实施 
这 个 项 目的 方法 一 一 无 论 公 司 有 100 人 还 是 100 000 人 。 
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很 多 人 知道 我 们 喜欢 毫 饪 ( 和 吃 )， 任 何 美味 的 一 餐 都 始 于 一 些 基 本 的 问题 : 


a 我 想 吃 什么 ? 

a 我 应 该 用 什么 配方 ? 
口 这 一 餐 的 目的 是 什么 ? 
口 有 其 他 的 需要 准备 的 东西 吗 ? 例如 盘子 、 配 菜 等 ? 


























如 果 你 替 我 问 米 歇 尔 这 些 问 题 ， 那 么 她 只 会 告诉 你 “羔羊 肉 ” 一 一 但 我 该 回 到 主题 上 
来 ， 因 为 本 章 并 不 是 关于 食物 ， 而 是 关于 我 们 的 钓鱼 攻击 培训 。 但 是 钓鱼 攻击 培训 和 
做 饭 类 似 ， 在 你 能 够 开始 培训 之 前 ， 你 必须 解决 一 些 基础 问题 。 









































说 明 不 要 被 骗 了 一 一 对 你 所 在 的 组 织 进行 钓鱼 攻击 听 起 来 很 简单 ， 但 是 只 是 简单 
地 发 送 钓 鱼 攻击 邮件 而 不 回答 下 面 这 些 问题 会 导致 失败 。 


5.1.1 为 什么 


问 “ 为 什么 ?” ”似乎 是 很 简单 的 , 但 是 你 的 管 案 应 该 是 能 对 你 的 钓鱼 攻击 培训 有 所 改 
变 的 。 为 什么 你 要 开始 这 一 培训 ?你 曾经 因为 下 面 的 理由 进行 过 钓鱼 攻击 模拟 吗 ? 























遵守 规定 

公司 政策 、 董 事 会 , 或 者 有 些 情况 下 合同 谈判 都 能 决定 他 们 想 要 你 的 组 织 进 行 何 种 测 
试 。 我 们 在 和 一 些 大 公司 合作 时 遇 到 过 这 类 情况 。 政 府 规定 或 者 其 他 规定 要 求 公司 进 
行 钓鱼 攻击 测试 并 报告 结果 。 











对 于 开展 钓鱼 攻击 来 说 ， 遵 守 规 定 并 非 一 个 坏 理由 ,但 是 如 果 这 是 唯一 的 动机 ， 那 
么 正如 我 们 所 发 现 的 ， 很 多 公司 都 会 选择 最 小 的 难度 然后 拿 到 数据 就 完事 了 。 这 种 
简单 服从 的 测试 会 导致 倾向 于 使 用 稍 弱 一 些 的 模板 ， 人 们 往往 只 会 查看 一 下 钓鱼 邮 
件 点 击 率 。 














再 次 强调 ,确定 一 条 基线 是 很 好 的 ,但 对 于 钓鱼 攻击 培训 来 说 ,不 要 把 遵守 规定 当成 
唯一 的 理由 也 是 很 重要 的 。 
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被 告知 进行 钓鱼 攻击 模拟 











有 时 候 某 位 老板 、 首 席 信息 安全 官 ， 或 者 其 他 人 会 要 求 某 个 部 门 组 织 并 发 送 钓鱼 邮件 
来 进行 钓鱼 攻击 模拟 。 当 我 听 说 这 是 开展 钓鱼 攻击 项 目的 动机 时 ， 我 会 和 提出 这 一 要 
求 的 人 聊 聊 ， 从 而 找 出 驱使 他 进行 模拟 训练 的 〈 列 在 这 里 的 某 一 种 ) 原因 。 如 果 你 被 
告知 要 开展 这 一 项 目 ， 那 么 你 也 应 该 问 问 他 们 这 些 问题 。 
































尝试 增强 安全 意识 


很 多 公司 把 钓鱼 攻击 模拟 当 作 他 们 的 年 度 常 规 项 目 之 一 , 用 于 测试 人 们 受 钓鱼 攻击 的 
影响 程度 。 这 些 测试 可 以 每 月 或 每 季度 组 织 和 发 送 , 并 且 它 们 几乎 总 是 有 教育 作用 的 。 



























































安全 意识 是 非常 常见 的 一 种 开展 钓鱼 攻击 模拟 的 原因 ， 它 是 公司 具有 前 脆性 的 体现 。 
通常 定期 参与 钓鱼 模拟 会 对 营造 安全 文化 有 显著 的 影响 ， 这 是 一 件 好 事 。 



































另外 , 我们 曾经 看 到 过 有 人 从 对 钓鱼 攻击 一 无 所 知 到 能 够 〈 在 家 和 在 工作 中 ) 识别 出 
最 高 级 别 的 钓鱼 攻击 的 转变 。 这 是 开始 钓鱼 攻击 培训 的 一 个 很 强大 的 理由 ,对 你 的 员 
工 如 何 看 待 安全 意识 有 着 长 久 的 影响 , 这 也 能 让 他 们 看 到 公司 有 多 么 重视 他 们 以 及 他 
们 的 福利 。 









































经 历 安全 事件 后 的 启示 























很 多 公司 是 在 发 现 漏洞 或 者 发 生 类 似 的 安全 事件 后 进行 钓鱼 攻击 模拟 的 。 模拟 是 为 了 
首先 设置 一 条 基线 ,然后 教育 人 们 或 者 解决 一 些 问 题 , 再 重新 测试 看 看 状况 是 否 有 所 
改善 。 
































当然 ,不幸 的 是 ,很 多 公司 在 被 攻破 后 或 者 嗅 探 到 钓鱼 攻击 后 才 这 么 做 。 我 见 过 钓鱼 
攻击 模拟 的 结果 被 上 报 给 董事 会 后 , 董事 会 决议 开展 一 系列 持续 的 钓鱼 攻击 模拟 来 提 
高 安全 意识 的 情况 。 当 然 ， 这 是 很 好 的 ， 可 以 让 人 们 受到 教育 以 保证 安全 。 



































我 的 观点 是 组 织 机 构 不 应 该 等 到 被 攻击 后 才 开展 这 类 项 目 。 ”能 鸟 ”安全 法 〈 把 你 的 
头 埋 在 沙里 ,假装 你 不 会 被 攻击 ) 很 少 起 作用 。 安 全 委员 会 已 经 不 再 说 “如 果 你 被 攻 
击 了 ”， 转 而 开始 说 “ 当 你 被 攻击 时 ”， 因 为 似乎 早晚 我 们 都 会 遭受 攻击 。 












































不 要 做 枝 头 低 垂 的 果子 一 一 在 钓鱼 攻击 者 把 你 从 树 上 摘 走 前 就 进行 训练 和 教育 吧 。 
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把 钓鱼 攻击 当 作 渗透 测试 的 一 部 分 

















对 公司 来 说 ,把 钓鱼 攻击 当 作 渗透 测试 的 一 部 分 已 经 变 得 很 寻常 了 。 这 人 么 做 可 以 有 很 
多 办 法 。 有 一 种 钓鱼 攻击 方法 可 以 使 得 shell (或 者 远程 访问 你 的 网 络 ) 成 为 可 能 , 38 
过 载 入 可 执行 文件 或 者 包含 允许 渗透 测试 人 员 和 远程 访问 网 络 的 代码 的 附件 。 在 男 一 种 
方法 中 ,钓鱼 攻击 会 引导 你 访问 一 个 页 面 ， 这 个 页 面 会 收集 你 的 证 书信 息 。 第 三 种 办 
法 则 是 诱导 员工 访问 一 个 404 错误 页 面 ， 而 员工 并 不 会 被 告知 他 或 她 正在 接受 钓鱼 攻 
击 模拟 。 而 第 四 种 方法 则 引导 员工 访问 一 个 教育 页 面 。” 














> 


管 你 的 公司 做 出 哪 种 选择 , 把 钓鱼 攻击 模拟 当 作 渗透 测试 的 一 部 分 都 是 一 个 好 主意 。 
我 知道 这 句 话 会 引出 男 外 的 一 些 问题 。 例 如 ， 我 现在 的 渗透 测试 公司 能 够 很 好 地 进行 
钓鱼 攻击 测试 吗 ? 它 在 安全 领域 有 经 验 吗 ? 我 们 对 这 一 测试 应 该 抱 着 什么 态度 ? 























是 很 好 的 问题 。 在 与 渗透 测试 公司 进行 沟通 之 前 ， 你 的 头脑 中 应 该 已 经 有 了 清 
楚 的 答案 ， 这 样 才能 确保 得 到 你 想 要 和 需要 的 服务 。 








为 什么 问 为 什么 





ET, 你 现在 对 想 要 开展 培训 的 基本 原因 有 了 比较 清晰 的 认识 ， 但 是 为 什么 了 解 想 要 
开展 培训 的 原因 是 很 重要 的 呢 ? 























很 简单 。 因 为 这 个 答案 会 影响 你 组 织 培训 的 方式 、 使 用 钓鱼 攻击 的 方式 、 所 选择 的 媒 
介 ， 以 及 所 期 待 的 结果 。 






































举 个 例子 , 想象 你 开展 培训 的 原因 是 因为 遭受 了 一 次 攻击 。 你 并 不 期 待 任何 钓鱼 攻击 
服务 商会 立刻 帮助 你 把 钓鱼 邮件 点 击 率 从 90% 降 低 到 10%, 对 吧 ? 在 被 攻击 后 立刻 做 
出 反应 是 很 难 的 ， 这 需要 快速 行动 和 快速 决策 。 所 以 此 时 你 培训 的 主要 目标 是 让 人 们 
知道 钓鱼 攻击 是 什么 、 它 看 起 来 是 什么 样 的 ， 以 及 如 何 缓 解 而 非 降低 总 点 击 率 。 



































然而 ， 如 果 你 开展 培训 的 理由 是 为 了 在 接 下 来 的 12 个 月 里 提高 人 们 的 安全 意识 ， 那 
么 你 会 很 自然 地 期 竺 惊人 的 变化 。 
























































名 教育 页 面 ， 即 点 击 钓鱼 邮件 链接 后 ， 会 引导 你 进入 一 个 关于 防范 钓鱼 攻击 的 安全 教育 页 面 。 
一 一 译 者 注 
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在 开始 “ 训 饪 ”前 ， 了 解 你 为 什么 想 进行 钓鱼 攻击 培训 ， 可 以 帮助 你 更 好 地 开展 它 ， 
为 你 的 员工 和 上 级 领导 做 出 更 美味 的 佳肴。 








在 你 知道 为 什么 要 开展 培训 后 ， 接 下 来 要 确定 你 该 怎么 做 。 





5.1.2 ”主题 是 什么 


当 你 准备 做 饭 时 ， 可 能 会 想 想 主题 。 例 如 ， 当 你 为 超级 碗 派对 准备 一 桌 菜 时 ,你 可 能 
不 会 使 用 与 结婚 20 周年 纪念 日 相同 的 主题 ， 对 吧 ? (我 当然 希望 你 不 会 在 20 周年 纪 
念 日 时 只 是 用 餐巾 纸 扎 个 翅膀 然后 就 坐 在 电视 机 前 了 。) 关键 是 用 餐 的 主题 会 改变 其 
展现 的 形式 。 
































这 可 能 听 起 来 有 点 熟悉 ， 类 似 于 前 几 节 中 提 到 的 问题 ， 但 是 有 一 些 重要 差别 。 接 下 来 
会 讲 一 些 常见 的 主题 。 














通用 型 


























这 一 类 几乎 覆盖 了 所 有 的 情况 ， 从 古老 的 419 骗局 到 伟哥 广告 。 我 想 说 这 一 类 钓鱼 攻 
击 已 经 很 少见 了 , 但 是 如 果 你 的 组 织 机 构 之 前 从 来 没有 遭受 过 钓鱼 攻击 ， 而 你 想 要 用 
一 些 容 易 识 别 的 邮件 来 开始 这 个 培训 项 目 ， 给 大 家 热 热 刁 ,那么 你 可 以 考虑 把 它 当 作 
饭 前 开胃 小 吃 。 





























通用 型 钓鱼 攻击 能 够 帮助 你 划 定 一 条 基线 ， 看 看 人 们 对 带 链 接 的 东西 有 什么 样 的 反 
应 ， 而 且 你 能 够 发 现 他 们 在 发 现 可 疑 的 事物 时 是 否 采取 了 适当 的 行动 。 


























一 点 建议 : 如 果 你 决定 和 服务 商 一 起 或 者 独自 开展 培训 ,那么 确保 你 的 项 目 并 没有 在 
通用 型 上 停留 太 久 。 论 太 长 时 间 在 那些 很 容易 识别 出 的 钓鱼 攻击 上 会 让 人 忻 恼 。 





媒体 /新 闻 
现实 世界 中 这 类 钓鱼 攻击 更 为 常见 。 这 里 举 一 些 例子 。 


Q “有 人 在 对 你 进行 背景 调查 。 
Q “ 突 发 新 闻 。< 搬 人 某 个 地 名 > 有 炸弹 爆炸 了 。 
口 “< 插入 某 种 灾难 > 重大 新 闻 ! 点 击 此 处 查看 更 多 。 
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口 “你 被 邀请 接受 CNN 的 采访 。 请 选择 一 个 你 方便 的 时 间 段 。 











不 管 原因 是 什么 ,新闻 和 媒体 总 是 广泛 用 于 钓鱼 攻击 , 这 一 主题 会 吸引 很 多 人 的 兴趣 。 
它 可 以 帮助 教导 你 的 学 员 如 何 辨 别 真 假 新 闻 故 事 , 以 及 了 解 钓鱼 攻击 者 在 利用 某 个 特 
定 主题 时 的 目的 是 什么 。 





其 他 主题 /来 源 























我 在 前 两 节 中 列 出 的 邮件 类 型 只 是 部 分 例子 。 实 际 上 钓鱼 邮件 有 很 多 种 ， 即 使 没有 上 
百 种 ， 也 远 远 超过 了 此 处 能 够 列 出 的 数量 。 














于 我 不 能 把 它们 全 列 出 来 ,我 会 把 与 你 的 公司 无 关 的 其 他 主题 包括 进来 ,它们 可 能 
来 自 供 应 商 或 者 内 部 来 源 。 看 上 去 似乎 来 自 Facebook、 亚 马 逊 和 Linkedln 的 钓鱼 攻击 
邮件 都 可 以 被 纳入 其 中 。 














社会 工程 人 员 用 来 查找 目标 公司 的 一 种 办 法 是 : 查 出 目标 所 使 用 的 全 部 供应 商 。 钓 鱼 
攻击 者 会 研究 废品 管理 公司 、 电 话 和 网 络 提供 商 、 电 力 公 司 、 软 件 和 硬件 供应 商 ， 甚 
至 你 的 安全 服务 供应 商 。 


























为 什么 这 些 信息 对 他 们 来 说 很 有 价值 呢 ? 因为 社会 工程 人 员 知 道 , 你 和 你 的 员工 更 倾 
向 于 信任 可 信 的 供应 商 , 并 更 愿意 打开 来 自 它 们 的 链接 、 附 件 , 或 者 向 它们 提供 信息 ， 
而 新 出 现 的 陌生 来 源 很 难 做 到 这 一 点 。 











钓鱼 攻击 者 凭借 这 一 事实 ， 想 要 让 你 “采取 一 些 不 符合 你 的 最 佳 利 益 的 行动 "， 他 们 
愿意 冒充 你 的 供应 商 来 达到 这 一 目的 。 一 位 社会 工程 人 员 如 果 知道 你 的 废品 管理 公司 
II] Waste-R-Us ,域名 是 www.wasterus.com ,那么 给 你 发 一 封 来 自 accounting@waterus.com 
(是 的 ， 是 故意 拼写 错 的 ) 的 邮件 就 可 能 会 让 你 打开 一 个 含有 恶意 代码 的 PDF 文件 。 





















































一 个 难题 是 : 安全 服务 供应 商 使 用 其 他 公司 的 商标 和 标志 来 做 测试 是 合法 且 符合 伦理 
道德 的 吗 ? 我 对 此 有 一 些 思 考 ， 会 在 下 面 的 5.1.3 节 中 进行 讨论 。 








@ 内 部 来 源 














内 部 邮件 看 上 去 是 一 个 很 好 的 主题 ,可 以 帮助 你 的 员工 理解 钓鱼 攻击 的 危险 性 。 让 员 
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工 接触 看 起 来 和 你 的 公司 网 址 相似 的 URL, 或 者 声称 来 自 人 事 部 门 IT、 管 理 部 门 或 
者 C 级 管理 者 "的 邮件 ， 都 能 帮助 他 们 了 解 钓 鱼 攻击 者 的 惯用 手段 。 这 是 帮助 你 的 员 
工 来 熟练 地 解码 URL 并 学 会 更 仔细 地 观察 邮件 地 址 的 一 种 很 好 的 办 法 。〈 更 多 关于 这 
些 保护 手段 的 信息 详 见 第 4 章 。) 





























你 想 要 把 这 一 主题 的 钓鱼 攻击 训练 提升 到 何 种 难度 ?我 们 公司 从 来 都 不 推荐 从 最 高 
难度 开始 。 你 不 会 想 让 员工 感到 无 助 的 。 我 建议 刚 开始 这 一 主题 时 不 要 太 难 ， 可 以 在 
邮件 中 留 下 一 些 提示 ， 然 后 再 逐渐 提升 难度 。 




















是 的 ,我 听 过 一 些 争 论 :“ 坏 人 不 会 在 意 的 ， 他 们 今天 会 展开 最 高 难度 攻击 的 。 我 同 
意 这 一 点 , 但 也 不 要 忘 了 这 一 简单 的 事实 : 我 们 并 非 坏 人 。 我 的 意图 和 目的 是 不 同 的 。 
我 的 目的 并 非 展 示 “ 你 的 员工 有 多 笨 ”， 而 是 帮助 你 开展 优质 的 培训 ， 使 得 你 的 员工 
在 工作 中 和 生活 中 更 安全 。 这 并 非 是 通过 让 人 们 觉得 自己 很 策 和 毫 无 希望 来 达到 的 。 
所 以 , 尽管 从 简单 的 部 分 开始 并 非 100% 贴 近 现实 ,但 是 这 一 方法 确实 可 以 在 训练 中 















































目前 为 止 ， 你 会 感觉 选择 主题 和 开展 钓鱼 攻击 培训 的 原因 一 样 重要 。 在 你 进行 下 一 步 
之 前 ， 花 点 时 间 仔细 考虑 这 两 节 的 内 容 是 很 重要 的 。 对 于 为 何 开展 钓鱼 攻击 培训 以 及 
打算 以 何 种 主题 开始 先 有 一 个 清晰 的 想法 ， 然 后 就 可 以 确定 钓鱼 攻击 培训 的 哪些 特征 
可 以 帮助 你 把 培训 办 得 更 贴 合 实际 、 更 有 教育 意义 、 更 成 功 。 



































5.1.3 ”要 不 要 在 邮件 中 使 用 商标 


在 继续 按 培训 规划 走 下 去 之 前 , 我 需要 停 下 来 讨论 一 个 在 钓鱼 攻击 社区 一 直 很 热门 的 
争论 :“ 要 不 要 在 邮件 中 使 用 商标 ， 这 是 个 问题 。 








想象 你 收 到 一 封 来 自 希 腊 的 某 个 组 织 的 钓鱼 邮件 , 它 看 起 来 像 是 一 封 来 自 UPS ( 联合 
包 囊 速递 服务 公司 ) 的 邮件 一 一 它 有 商标 ， 措 辞 也 很 官方 ， 甚 至 在 页 脚 有 法 律 术 语 。 
尽管 邮件 被 设计 成 来 自 UPS 的 样子 ， 邮 件 中 的 链接 却 都 指向 一 个 恶意 的 信息 穷 取 网 
站 ， 这 个 网 站 会 窃取 你 的 密码 、 用 户 名 、 账 户 信息 ， 等 等 。 









































随 着 坏人 越 来 越 多 地 使 用 这 种 技术 , 很 多 公司 都 开始 选择 在 邮件 中 使 用 商标 的 钓鱼 攻 














O 指 CEO, CFO 等 级 别 的 管理 者 。 一 一 译 者 注 
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击 模拟 来 测试 员工 的 反应 。 这 一 决定 激 起 了 钓鱼 攻击 专家 、 供 应 商 、 法 律 部 门 ， 以 及 
那些 公司 商标 被 用 作 测 试 的 公司 之 间 的 争论 。 











在 我 发 表意 见 之 前 ， 我 移 说 两 句 : 我 并 非 律师 ， 我 所 提供 的 也 不 是 法 律 建议 。 你 应 该 
先 找 一 家 律 所 进行 咨询 ， 再 决定 是 否 在 钓鱼 攻击 模拟 中 使 用 商标 或 者 其 他 品牌 标识 。 
现在 暂时 不 考虑 这 些 ， 以 下 提供 了 一 些 基本 的 信息 。 


























商标 是 指 公司 用 来 表示 产品 或 者 服务 属于 它们 的 文字 、 图 像 、 短 语 或 者 符号 。 美 国联 
邦 法 中 主要 的 商标 法 规 是 载 于 《美国 法 典 》 第 十 五 编 的 《 兰 哈 姆 法 》( Lanham Act, 15 
U.S.C. §§ 1111-1129 )。 尽 管 商 标 法 在 过 去 几 十 年 来 有 所 发 展 , 添加 了 很 多 复杂 的 条 款 ， 
但 一 些 基 本 要 求 是 不 变 的 : 原告 必须 在 开庭 前 找到 被 告 未 经 授权 使 用 商标 的 证 据 。 





























D 原告 必须 证 明 拥 有 有 效 商 标 。 

O 原告 必须 证 明 被 告 在 未 经 授权 的 情况 下 , 在 所 出 售 的 商品 、 服 务 或 广告 上 使 用 了 相 
同 或 者 相似 的 商标 。 

D 原告 必须 证 明 被 告 使 用 这 个 商标 容易 造成 人 们 的 混淆 。 























其 中 第 二 条 对 钓鱼 攻击 来 说 最 为 关键 ,因为 它 表示 如 果 不 在 含有 广告 或 者 产品 促销 信 
息 的 钓鱼 邮件 中 使 用 商标 ,那么 会 更 安全 ; IMA, BERR EH CREF 
客户 或 者 你 自己 的 员工 。 











在 你 决定 是 否 使 用 商标 前 ， 还 有 一 些 其 他 问题 要 考虑 。 





O 你 和 你 的 客户 有 可 能 得 到 商标 持 有 者 的 授权 吗 ? ( 如果 可 以 , 那么 请 确保 得 到 纸 质 

的 许可 。) 

O 即使 有 很 好 的 理由 表明 你 没有 侵犯 其 他 人 的 商标 , 并 且 你 最 后 在 法 庭 上 获胜 , 你 也 
要 考虑 到 昂贵 的 律师 费 、 所 耗费 的 时 间 和 所 承受 的 压力 。 如 果真 有 公司 决定 起 诉 你 ， 
那么 你 做 好 在 庭审 上 花费 大 量 的 时 间 、 金 钱 和 精力 的 准备 了 吗 ? 

口 你 正 考虑 在 钓鱼 邮件 中 使 用 某 家 供应 商 的 商标 以 显得 更 真实 一 些 , 但 是 否 你 的 客户 
也 在 使 用 那 家 供应 商 的 服务 ? 如果 不 是 , 那 这 么 做 值得 吗 ?” 举例 来 说 , 我 见 过 一 个 
使 用 UPS 商标 的 钓鱼 邮件 ， 它 几乎 骗 过 了 所 有 人 。 但 是 我 现在 的 客户 只 用 FedEX 
(联邦 快递 ) 因此 ， 如 果 仅 仅 是 为 了 使 用 UPS 商标 而 向 这 位 客户 提议 在 训练 中 使 

用 带 有 UPS 商标 的 钓鱼 邮件 ， 那 岂 不 是 太 傻 了 吗 ? 































































































ay 




















5.1 基本 方法 | 99 























在 钓鱼 攻击 模拟 中 , 你 对 这 些 问 题 的 回答 会 极 大 地 影响 着 你 对 是 否 使 用 以 及 如 何 使 用 
商标 的 态度 。 


我 知道 你 现在 可 能 想 知 道 我 的 意见 , 让 我 来 告诉 你 吧 。 我 赞成 使 用 商标 。 以 做 饭 为 例 ， 
我 第 一 次 试 着 做 奶酪 蛋糕 时 没有 用 烤 盘 。 做 出 来 的 蛋糕 没 问题 , 但 是 不 像 外 面 卖 的 那 
么 好 看 。 如 果 你 们 中 有 人 也 做 过 奶 酷 蛋 糕 ,那么 就 会 知道 并 不 是 买 回 烤 盘 来 就 可 以 使 
用 了 。 你 需要 做 一 些 准备 ， 进 行 一 些 练习 ， 但 当 你 做 完 这 些 的 时 候 ， 你 的 成 品 会 令 人 
惊艳 。 












































含有 商标 的 钓鱼 攻击 模拟 是 一 种 非常 高 级 的 的 手段 , 需要 练习 才能 完美 开展 。 如 果 你 
与 某 家 供应 商 合作 ， 那 么 确保 向 供应 商 询 问 使 用 其 商标 的 惯用 做 法 ; 如果 你 独自 开展 
这 一 培训 ， 那 么 确保 你 已 经 回答 了 本 节 前 面 提 出 的 问题 。 




















最 后 要 说 的 是 ， 我 已 经 使 用 过 商标 很 多 次 ， 出 错 也 有 很 多 次 。 我 说 “出 错 ” 并 非 是 指 
我 被 告 上 法 庭 ， 但 确实 有 人 对 此 感到 不 开心 。 




















如 果 你 想 用 商标 , 但 是 开始 时 有 一 点 紧张 , 那 该 怎么 办 ?看 看 图 5-1, 你 看 到 了 什么 ? 








5-1 UPS 还 是 USP 





























如 果 你 在 钓鱼 攻击 模拟 中 使 用 这 个 商标 , 那么 它 足 以 让 你 的 邮件 看 起 来 像 是 真 的 吗 ? 
你 能 够 这 么 做 而 不 巷 任 何 麻 烦 吗 ? 











我 不 能 为 你 或 你 的 公司 回答 这 个 问题 , 和 你 们 公司 的 法 律 部 门 聊 聊 吧 , 解释 一 下 情况 ， 
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权 。 咨 询 你 的 得 
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看 看 这 种 钓鱼 攻击 模拟 怎么 样 。 想 想 你 的 公司 或 供应 商 能 否 得 到 商标 拥有 者 的 签字 授 


LE 师 ， 向 他 们 寻求 帮助 ， 弄 清楚 如 何 站 在 法 律 这 边 一 一 因为 坏人 正在 使 
用 商标 ， 并 且 这 一 招 很 奏效 ， 所 以 人 们 需要 了 解 坏 人 所 使 用 的 招数 。 


5.2 开展 培训 


目前 为 止 , 你 已 经 理解 了 为 什么 要 对 你 的 员工 进行 钓鱼 攻击 培训 。 你 的 培训 有 了 定义 
明确 的 主题 。 你 甚至 对 你 是 否 要 使 用 商标 有 了 更 清晰 的 感觉 。 











那么 剩 下 的 问题 就 是 :“ 我 该 如 何 开始 ” ”我 和 米 软 尔 开展 了 一 个 在 许多 来 自 各 行 各 
业 的 公司 中 都 有 效果 的 培训 ,并且 我 们 认为 把 它 分 享 出 来 是 很 重要 的 。 















































把 这 些 知 识 分 享 给 大 众 是 非常 重要 的 。 


是 的 ， 正 如 我 所 写 的 ， 我 正 试图 帮助 更 多 的 人 ， 而 不 仅仅 是 现在 的 这 些 客户 。 我 认为 


这 个 培训 非常 简单 ， 尽 管 有 时 听 起 来 非常 复杂 , 但 是 背后 的 原则 和 其 他 值得 去 做 的 事 
情 是 一 样 的 。 当 你 开始 健身 时 ， 你 不 会 一 开始 就 想 要 提起 地 球 上 最 重 的 东西 ， 对 吧 ? 
你 会 先 从 小 的 东西 开始 ,逐渐 增加 重量 ， 然 后 突破 ; 再 保持 、 再 增加 、 再 突破 ; 
持 、 再 增加 。 钓鱼 攻击 培训 与 此 类 似 。 我们 会 帮助 你 突破 , 教导 你 如 何 保持 这 一 水 平 ， 
以 及 之 后 如 何 取 得 进步 。 然 后 你 就 可 以 循环 这 一 过 程 了 。 




































































再 保 


在 你 了 解 这 一 循环 背后 的 原理 之 前 ， 你 就 会 成 为 一 个 奥林匹克 级 别 的 钓鱼 攻击 专家 。 
这 个 培训 项 目 可 以 分 为 下 面 六 个 部 分 : 


口 设 定 基线 














口 设 定 难度 等 级 
Q 编写 钓鱼 攻击 邮件 




















口 追踪 和 统计 
口 报告 
口 重复 





下 面 分 步 进行 叙述 。 
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5.2.1 设 定 基线 


曾经 我 在 安全 会 议 DerbyCon 上 有 个 特别 好 的 机 会 来 使 用 一 个 趣味 版 的 测 谎 仪 。 我 们 
首先 会 问 一 些 特别 曝 俯 的 问题 ,然后 看 被 测 者 是 说 实话 还 是 说 谎 并 逃避 。 测 谎 者 首先 
要 设置 一 条 基线 一 一 也 就 是 说 , 测 谎 者 要 先 问 一 个 不 可 能 撒谎 的 问题 来 看 看 被 测 者 的 
真实 反应 。 我 们 的 基线 问题 是 :“ 这 间 房 里 的 灯亮 着 吗 ? ” 


























这 条 基线 的 作用 是 帮助 测度 者 了 解 当 一 个 人 说 实话 时 的 心跳 速度 、 呼 吸 频率 和 出 计 
量 。 当 测试 开始 时 ， 可 以 通过 基线 来 衡量 其 波动 程度 。 


成 功 的 钓鱼 培训 项 目 都 始 于 基线 。 但 是 你 该 如 何 为 钓鱼 攻击 设 定 基 线 呢 ? 这 里 有 两 种 
理论 :“ 和 警戒 线 ” 和 “出 人 意料 的 钓鱼 攻击 线 "。 








警戒 线 





第 一 种 设置 基线 的 办 法 是 告诉 员工 你 正在 进行 钓鱼 攻击 项 目 并 发 出 警告 。 大 体 上 ,你 
要 宣布 开始 进行 钓鱼 攻击 ， 并 解释 你 的 目的 是 为 了 给 公司 和 个 人 营造 更 安全 的 环境 。 
你 会 以 某 段 时 间 为 间隔 ， 给 他 们 发 送 钓鱼 邮件 。 





























建议 你 甚至 可 以 告诉 他 们 你 想 要 他 们 采取 什么 行动 : 


a 识别 钓鱼 邮件 
口 报告 钓鱼 邮件 














当 这 种 提前 警告 的 信息 在 公司 里 传播 开 来 ,将 会 产生 很 大 的 影响 ， 它 能 帮助 员工 了 解 
接 下 来 会 发 生 什 么 以 及 该 如 何 应 对 。 


出 人 意料 的 钓鱼 攻击 线 

















第 二 种 开展 钓鱼 攻击 培训 的 方法 更 激进 一 些 。 这 种 情形 下 你 不 需要 事先 警告 然后 再 设 
定 基 线 。 你 在 没有 任何 提示 的 情况 下 发 送 钓鱼 攻击 邮件 ， 然 后 看 看 结果 如 何 。 














为 什么 有 些 人 会 选择 这 种 方法 呢 ? 因为 这 种 方法 提供 了 最 清晰 的 情况 ,可 以 看 到 员工 
面临 真实 世界 的 钓鱼 攻击 时 的 反应 。 























另 一 些 人 选择 提前 警告 他 们 的 员工 ,因为 他 们 想 让 员工 在 每 次 教育 机 会 中 都 能 有 最 佳 
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的 准备 以 抵御 钓鱼 攻击 。 








哪 种 方法 更 好 ? 老实 说 ， 我 不 能 给 你 答案 。 这 取决 于 你 们 的 企业 文化 、 员 工 、 经 验 ， 
以 及 很 多 其 他 因素 。 

我 能 说 的 是 ,这 两 种 方法 都 能 帮助 你 设 定 一 条 基线 ， 都 能 帮助 你 将 钓鱼 攻击 作为 一 种 
教育 员工 的 工具 。 我 的 建议 是 选择 最 适合 你 的 那 种 ， 然 后 以 此 作为 训练 的 开端 。 























在 你 决定 如 何 设 定 基线 后 ， 你 该 如 何 得 知 应 该 发 送 何 种 钓鱼 攻击 邮件 呢 ? 


522 REME 


即使 你 从 本 书 中 什么 都 没有 学 到 , 也 请 留意 这 一 节 , 因为 这 是 整个 项 目 最 关键 的 地 方 。 
这 一 节 非 常 重要 ， 因 为 这 是 设 定 钓 鱼 攻击 难度 的 一 节 。 近 些 年 来 我 一 直 在 将 我 见 过 的 
钓鱼 攻击 邮件 进行 分 类 。 当 我 和 米 歇 尔 开 始 一 起 共事 时 , 我 们 创建 了 一 个 钓鱼 攻击 库 ， 
里 面包 含 了 大 量 真实 的 钓鱼 邮件 示例 ， 并 按照 系统 进行 了 分 类 。 



















































































这 一 系统 的 分 类 依据 是 钓鱼 邮件 的 难度 级 别 一 一 具体 来 说 , 是 根据 识别 它 是 否 为 钓鱼 
邮件 的 难度 进行 划分 的 。 我 和 米 歇 尔 把 它们 分 成 了 下 面 四 类 ， 几 乎 可 以 宫 括 所 有 基本 
钓鱼 邮件 。 








下 面 将 带 你 概览 一 下 不 同等 级 的 钓鱼 邮件 ， 然 后 讨论 一 下 如 何 利 用 它们 。 


一 级 钓鱼 攻击 





一 级 钓鱼 攻击 是 最 容易 识别 的 ， 通常 与 (第 1 章 中 描述 过 的 ) 419 钓鱼 邮件 相关 。 有 
很 多 指标 可 以 识别 出 它 是 “钓鱼 攻击 ”， 大 多 数 普通 用 户 都 应 该 觉得 能 很 容易 找 出 这 
类 邮件 不 对 劲 儿 的 地 方 。 









































当 我 和 米 歇 尔 开 始 为 这 些 邮 件 分 类 时 ,我 们 挑 出 了 一 些 显 著 特 征 ， 可 以 用 下 列 指标 来 
划分 一 级 钓鱼 攻击 : 














a 非 指向 性 问候 和 结束 语 ; 
O 拼写 错误 和 糟糕 的 语法 ; 
口 简易 的 信息 /不 太 可 能 成 立 的 理由 (例如 “你 已 经 继承 了 上 百 万 美元 ”); 








口 引起 贪 
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、 怒 惧 或 者 好 奇 的 心理 ; 


口 文本 中 出 现 恶 意 链接 ; 
口 奇怪 的 邮件 地 址 /未 知 的 发 件 人 。 


大 多 数 情况 下 ,一 级 钓鱼 攻击 具备 很 多 上 述 特 征 。 尽 管 你 可 能 不 会 看 到 以 前 那么 多 的 
此 类 的 真实 邮件 ， 此 处 也 提供 了 一 些 例子 。 














eoe Youre resume — Inbox 
w Be ea 4 > |e Pe 
Evil Phisher <evil@phishers.com> January 10, 2015 at 10:15 PM 
To: Christopher Hadnagy 


Youre resume 


Dear Friend, 


lam an executive recriuiter in your area. While searching for qualified candidates for upcoming 
project your Linkedin profile came up. 


Please contact me at your in the next 48 hours to discuss this exciting opportunity. | am sure you 
have questions so I've included a link HERE with some preliminary details on this position. 




















Your Friend 
eoe Charity Donation From Mrs. Mabel Ovis — Sent 
Ww g ^ d > m INS, 
Fake Charity Phisher «fakecharityGphishers.com» January 10, 2015 at 10:22 PM 
To: Christopher Hadnagy 


Charity Donation From Mrs. Mabel Ovis 


Attention: 


Greetings in the name of the Almighty God/Allah the giver of every good thing. | know this proposal will definitely come to 
you as a huge surprise, but | implores you to take your time to go through it carefully as the decision you make will go a long 
way to determine my future. 


lam Mrs. Mabel Ovis an ageing widow of 57 years old suffering from long time illness. | have some funds which | inherited 
from my late husband, the sum of USD $4,500,000.00 and | needed a very honest and God fearing person who can 
withdraw this money then use the funds for Charity works. | WISH TO ENTRUST THIS FUND TO YOU FOR CHAIRITY WORKS. 


1 found your email address from the internet after honest prayers to the Lord/Allah to bring me HONEST PERSON I CAN 
CONFIDE ON, and | decided to contact you if you may be willing and interested to handle these trust funds in good faith. | 
am desperately in keen need of assistance and | have summoned up courage to contact you for this task, you must not fail 
me and the millions of the poor people in our today's WORLD. 


This is not stolen money and there are no dangers involved. Please if you would be able to use the funds for the Charity 
works please kindly let me know immediately for more details. 


Please kindly respond quickly for further details if you can handle this task. 
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这 里 的 一 级 钓鱼 攻击 似乎 看 起 来 很 春 ， 但 是 不 管 你 信 不 信 ， 它们 的 确 有 效 。 记 得 米 鞭 
尔 写 的 关于 影响 的 那 一 节 吗 ? 这 些 邮 件 之 所 以 有 效 是 因为 贪 禁 和 恐惧 。 对 潜在 的 损 
失 的 铠 惧 、 内 心 的 贪 事 ， 以 及 对 “如 果 …… 那 会 怎样 ”的 好 奇 心 超 越 了 逻辑 和 理性 的 
力量 。 




















真实 生活 中 的 一 级 钓鱼 攻击 





颤 采 。 他 和 他 的 同伙 不 仅 会 发 送 钓鱼 攻击 邮件 ， 还 会 用 真人 扮演 来 让 一 切 显得 更 
可 信 。 让 我 给 你 举 个 例子 。 


假设 你 不 幸 回 复 了 这 类 邮件 。 你 会 收 到 回复 ， 告 诉 你 需要 签署 法 律 文件 ， 而 且 会 
面 安排 在 某 个 城市 的 一 间 办 公 室 里 。 


当 你 走 进 办 公 室 的 时 候 , 你 会 看 见 一 个 穿着 像 是 < 插入 邮件 来 源 所 在 的 国家 > 军队 
制服 的 人 ， 他 面前 摆 着 很 多 看 起 来 相当 正式 的 文件 。 你 会 被 要 求 签署 银行 转账 表 
格 、 法 律 权利 表格 、 律 师表 格 一 一 这 些 都 与 邮件 里 声称 的 相符 。 然 后 你 要 交 给 他 
们 一 张 5000 美元 的 支票 。 这 与 你 日 后 会 收 到 的 450 万 美元 相 比 ， 看 起 来 只 是 一 
个 小 数目 。 不 幸 的 是 ， 由 于 政府 原因 ， 一 周 后 你 会 被 告知 需要 另 付 5000 美元 来 
帮助 取出 政府 所 拥有 的 钱 。 


我 认识 的 人 告诉 我 ， 在 拿 走 受害 人 5000 到 15 000 美元 后 ， 他 和 他 的 同伙 就 会 消 
失 不 见 。 一 次 对 5 个 、10 个 、20 个 或 者 100 个 人 发 动 这 样 的 攻击 ， 对 于 一 个 外 国 
团伙 加 上 若干 名 美国 的 操作 者 来 说 运气 并 不 算 坏 。 一 个 月 里 他 们 就 可 以 拿 到 100 万 
到 400 万 美元 一 一 是 的 ， 你 没 看 错 一 一 然后 就 消失 在 落日 里 。 





因此 ， 你 不 应 当 嘲笑 他 们 ， 也 不 应 当 认 为 一 级 钓鱼 攻击 很 春 而 且 根本 不 会 奏效 。 
还 记得 我 告诉 过 你 我 在 去 年 发 了 300 万 封 钓鱼 攻击 邮件 吗 ? 其 中 一 级 钓鱼 攻击 有 
5% 到 7% 的 点 击 率 ， 因 此 ,最 少 有 15 万 人 点 击 了 这 类 邮件 里 的 链接 。 钓 鱼 攻击 者 
只 需要 一 个 愿意 点 击 和 打开 恶意 软件 的 人 就 可 以 氛 毁 你 的 网 络 ， 所 以 15 万 人 并 
REY 
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二 级 钓鱼 攻击 





二 级 钓鱼 攻击 更 复杂 ， 尽管 也 有 与 一 级 钓鱼 攻击 类 似 的 指标 , 但 它 的 主题 更 为 巧妙 和 
隐蔽 。 我 和 米黄 尔 归 纳 出 了 下 面 这 些 特 征 : 








a 非 指 向 性 问候 和 结束 语 ; 

口 拼写 正确 但 有 一 些 语法 问题 ; 

口 信息 更 复杂 但 仍然 很 基本 ; 

口 引起 贪 焚 、 疏 惧 或 者 好 奇 的 心理 ; 
a 文本 中 出 现 恶意 链接 ; 

口 奇怪 的 邮件 地 址 /未 知 的 发 件 人 。 











如 前 所 述 ， 它 有 很 多 和 一 级 钓鱼 攻击 类 似 的 地 方 ,但 是 我 们 注意 到 有 一 点 不 同 ， 那 就 
是 主题 。“ 你 中 了 450 万 美元 大 奖 ” 这 类 主题 更 少 出 现 ， 更 多 的 是 基于 公司 信息 或 个 
人 信息 的 邮件 ， 它 们 利用 好 奇 和 式 惧 作为 驱使 你 采取 行动 的 因素 。 
































下 面 有 一 些 真实 的 例子 : 











正如 你 所 看 到 的 ， 这些 钓鱼 攻击 更 注重 激发 好 奇 和 念 届 ， 尝 试 让 收 件 人 点 击 链 接 以 获 


取 他 的 个 人 信息 或 者 渗透 进 公 司 的 网 络 。 





JUL 









































在 第 一 个 例子 中 ， 邮 件 里 的 名 字 是 错 的 ， 目 的 是 为 了 引起 好 奇 心 。 如 果 你 收 到 一 封 这 
样 的 邮件 ， 那 么 你 可 能 会 想 :“ 等 等 ， 我 收 到 某 女 士 的 医疗 记录 了 。 我 想 知 道 她 为 什 
么 去 医院 。 我 就 看 一 眼 。” 





eae Your labwork results are ready — Sent 
Bow n ^ A => A Fs 
® Local Lab Phish «labsGlocallabplace.com» January 10, 2015 at 10:27 PM 


To: Christopher Hadnagy 
Your labwork results are ready 


Dear Ms. Michele Fincher, 


The results from your labwork done at Valley Highlands Medical are now available. Please click here to log 
in and view your results. 


Lab 
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eoe Someone just ran a background check on you — Inbox 


wri ae > a rm. 





Fake Background Check <fake@backgroundchecksfaked.com> January 10, 2015 at 10:31 PM 
To: Christopher Hadnagy 
Someone just ran a background check on you 


----THIS IS AN AUTOMATED EMAIL-NOTIFICATION- - - - - - - - 


Jan 10, 2015 


MESSAGE NOTIFICATION #286212729-1 


INTERNET ALERT FOR: chris@social-engineer.com - DT. 9/10/2015. 











This automated response has been delivered today to inform you that someone just ran a background-scan on you. 
Please view the details of your scan below: 


Your Scan Details: 
* Date: 01.10.15 


* Time: 1:46:09 AM. (-PST) 

















第 二 个 例子 利用 的 是 人 们 害怕 别人 发 现 自 己 深 藏 的 秘密 的 心理 。 





这 两 个 例子 都 驱使 你 想 要 去 点 击 链接 、 打 开 附件 , 或 者 采取 一 些 你 绝 不 该 采取 的 行动 。 
三 级 钓鱼 攻击 





三 级 钓鱼 攻击 接近 于 真实 世界 中 的 鱼 叉 式 钓 鱼 攻击 〈 属于 最 高 级 ) 以 外 的 针对 性 钓鱼 
攻击 。 三 级 钓鱼 攻击 邮件 复杂 而 难以 识别 。 














三 级 钓鱼 攻击 有 下 面 这 些 指标 : 


Q 指向 性 问候 和 结束 语 ; 

a 正确 的 拼写 ; 

口 不 错 的 语法 ; 

O 复杂 的 信息 ,会 引起 人 怒 惧 或 好 奇 的 心理 ; 

口 文本 中 出 现 恶 意 链 接 ; 

口 有 时 候 会 出 现 奇 怪 的 邮件 地 址 ， 但 是 发 件 人 看 起 来 是 合法 的 ; 
口 很 多 时 候 出 现 商标 。 























5:2. 
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三 级 钓鱼 攻击 邮件 看 上 去 非常 真实 ,即使 专业 人 员 也 可 能 中 招 , 或 者 需要 时 间 才 能 判 


断 出 它 是 真是 假 。 





前 面 提 到 的 伪装 成 来 自 亚马逊 的 邮件 的 例子 就 是 三 级 钓鱼 攻击 。 


这 一 级 别 的 钓鱼 邮件 信息 倾向 于 不 与 钨 惧 相 关联 。 我 并 不 是 说 攻击 者 不 再 利用 怒 
惧 一 一 因为 他 们 确实 还 在 利用 一 一 但 我 们 看 到 的 是 , 利用 其 他 类 型 的 驱使 因素 的 情况 
EERI, WR, KE WEM, 


在 写 这 一 节 时 , 另 一 个 AT&T ARRIR PR EA BATFE EAR 
于 危险 之 中 。 当 我 提醒 家 人 和 朋友 可 能 会 有 潜在 钓鱼 邮件 攻击 或 者 语音 钓鱼 攻击 时 ， 











我 收 到 了 图 5-2 所 示 的 信息 。 








From: "AT&T Wireless" <attwireless@piwomv.me.uk> 
Subject: What's better than cheap smartphones? FREE smartphones! 








Preferences 


Embark on a new adventure with a new AT&T phone at prices as low as FREE"! 





Existing AT&T Customers: Log in and shop online for special AT&T customer discounts. 


Shop | Specialoffers | Plans | FindanAT&T store 


Get a smartphone 
as epic as you are, 
for less than you think 


With AT&T smartphones starting at 
FREE", there's no reason not to find 
the perfect one today! 

"Now 2- 
activi 





Sign up to get our hottest deals delivered right to your inbox 


PLEASE DO NOT REPLY TO THIS MESSAGE 


*Limited-time offer. Requires new 2-yr wireless with qualified plan including voice & data. Subject to 
Wireless Customer Agrmt. Credit approval req'd. Upgrade/Activation fee $36/line. Geographic, usage, & other terms, 


gov't assessments. These are not taxes or govt req'd charges. Pricing subject to change. Visit a store or 
©2014 ATAT Intellectual Property. All rights reserved. AT&T, AT&T logo and all other marks contained herein are 
trademarks of AT&T Intellectual Property and/or AT&T affiliated companies. 

Wireless Legal Site | Privacy Policy | Unsubscribe 

This is a promotional email. 

AT&T, 1055 Lenox Park Blvd., Atlanta, GA 30319 
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让 我们 把 这 圭 邮 件 依据 之 前 提 及 的 特 和 


BOF o 










































































上 只， 只 是 利用 了 好 奇 。 


[进行 分 类 , 来 看 看 这 类 钓鱼 攻击 是 多 么 聪明 和 


O 指向 性 问候 和 结束 语 。 尽 管 邮件 没有 指向 性 的 问候 , 但 想象 一 下 ,如果 有 AT&T 的 
用 户 正好 收 到 这 样 一 封 邮件 ， 那 么 他 会 怎么 想 。 像 不 像 特意 发 给 他 的 ? 
口 正确 的 拼写 和 不 错 的 语法 。 这 里 可 能 很 难 找 出 拼写 错误 和 语法 问题 。 
OQ 复杂 的 信息 ， 会 引起 恶 恨 或 好 奇 的 心理 。 这 里 没有 灵 
口 文本 中 出 现 恶 意 链 接 。 邮 件 里 的 链接 看 上 去 指向 了 合法 的 AT&T 地 址 , 除了 最 主要 
的 一 个 ， 它 指向 了 一 个 窃取 身份 信息 的 页 面 。 
O 有 时 候 会 出 现 奇 怪 的 邮件 地 址 ， 但 是 发 件 人 看 起 来 是 合法 的 。 注 意 到 发 件 人 的 邮件 
地 址 了 吗 ? 显然 不 是 AT&T 的 地 址 。 

口 很 多 时 候 出 现 商 标 。 这 封 邮 件 显然 出 现 了 商标 ， 以 显得 更 可 信 。 


这 就 是 真实 世界 中 的 三 级 钓鱼 攻击 。 很 少 有 公司 或 者 渗透 测试 者 会 进行 这 一 级 别 的 培 


训 或 者 渗透 测试 。 这 3 











作 钓 鱼 攻击 肯定 会 让 很 多 人 惊讶 。 


我 必须 把 这 个 例子 分 享 给 你 ， 因 为 新 闻 中 出 现 的 这 类 攻击 越 来 越 多 ， 当 我 写 这 篇 


HH 





时 ， 它 们 还 源源 不 断 地 进入 我 的 收 件 箱 中 。 


下 面 还 有 一 个 三 级 钓鱼 攻击 的 例子 ， 它 被 用 于 合法 的 公司 钓鱼 攻击 培训 中 。 


5e Social Media Policy Changes — Inbox 
wel ME MSS e 


封 邮件 里 的 商标 是 真 的， 很 多 链接 也 指向 合法 站 点 ， 因 此 和 
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Your IT Service Desk <ITServiceDesk@yourcornpany.com> January 10, 2015 at 10:35 PM 
To: Michele Fincher 
Social Media Policy Changes 


Dear Michele, 


YOUR COMPANY is instituting new social media policies. Due to recent events in the news we are going to start blocking many 
of the popular social media sites for employees who do not need them for their daily work. 


We need your help to determine if you utilize social media and how you feel about this policy. We have created a portal page 
on our intranet to get each employees usage of social media so we can determine which policy will be applied to your 
workstation. Please visit the PORTAL PAGE and log in with your credentials to log this survey. 

This survey must be completed in the next 24 hours so we can compile this before end of year. 

Thank you, 


Help Desk Support 


Your Company, Inc. 
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它 用 


pe 


注意 到 邮件 中 指向 性 的 问候 , 没有 糟糕 的 拼写 错误 和 语法 , 甚至 没有 你 们 公司 的 商标 。 
这 种 钓鱼 邮件 很 难 被 员工 识别 出 来 。 那 么 这 














邮件 地 址 。 并 不 是 yourcompany.com 而 是 yourcoRNpany.com。 这 个 细微 的 差别 很 难 发 
Bh, 但 是 如 果 你 对 员工 进行 培训 ， 告 诉 他 们 要 仔细 注意 这 些 细节 ， 那 么 他 们 会 注意 到 
这 一 点 而 不 会 落 和 人 陷阱 中 。 


在 钓鱼 攻击 培训 项 目 中 , 这 一 级 别 的 钓鱼 攻击 通常 不 会 在 初始 阶段 给 没有 培训 经 验 的 





























公司 使 用 。 它 是 留 给 对 此 更 为 熟悉 的 群体 的 。 


四 级 钓鱼 攻击 ， 或 鱼 又 式 钓鱼 攻击 


这 一 级 别 的 钓鱼 攻击 非常 高 级 、 非 常 个 人 化 ， 而 且 很 多 时 候 非常 成 功 。 这 一 级 别 的 钩 
鱼 攻击 的 有 趣 之 处 在 于 ， 它 可 能 具备 个 人 化 信息 、 商 标 、 无 拼写 错误 等 特征 ， 但 它 也 
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时 邮件 的 指标 是 什么 ? 














有 可 能 是 地 球 上 最 简单 的 邮件 。 


你 可 能 听 说 过 2011 年 RSA 公司 所 遭受 的 攻击 。 当 时 那 封 鱼 又 式 钓 鱼 攻击 邮件 〈 如 图 





5-3 所 示 ) 仅仅 发 送 给 了 RSA 公司 里 的 几 个 人 。 
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Bem M GENI 


Reply Reply Forward | Delete Moveto Other Block | inotlunk Categorize Foltow Maxas | , 
to All Folder* Aetions* | Sender — + Up* Unread || kg Select" 
Actions Junk E-mail 5 Options fa Find 
Frome web master [webmaster &be yond.com] Sent: to 33.2011 13:49 
To: com 
Cc 
Subject: 


i] Message | E) 2011 Recruitment plan.xis 








I forward this file to you for review. Please open and view it. 





4 a E il 





} 





图 5-3 ”行动 中 的 懒 人 原则 
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我 知道 ,任何 人 似乎 都 能 识别 出 这 一 钓鱼 攻击 ,但 事实 是 它 奏 效 了 。 同 样 简 单 的 是 关 
于 煤炭 绿色 化 倡议 的 钓鱼 邮件 ， 它 只 有 一 行 字 ， 就 让 可 口 可 乐 公司 中 招 了 。 此 类 钓鱼 
邮件 层出不穷 ,但 是 都 有 一 个 共性 ， 那 就 是 它们 都 很 简单 ， 但 直击 要 点 。 它 们 是 如 何 
做 到 的 呢 ? 


这 些 攻 击 之 所 以 有 效 , 是 因为 收 件 人 正 期 望 着 收 到 这 类 邮件 。 他 们 已 经 做 好 准备 接收 、 
认可 、 打 开 并 阅读 这 类 “主题 ”的 邮件 。 他 们 认为 收 到 这 类 邮件 是 理所当然 的 ， 因 此 
就 照 着 邮件 里 的 要 求 去 做 了 。 


很 多 例子 中 ， 鱼 又 式 钓鱼 攻击 中 更 重要 的 是 OSINT (open-source intelligence， 获 取 开 
放 性 情报 ， 或 者 信息 收集 ) 的 部 分 ， 而 不 是 发 送 邮件 的 部 分 。 这 一 部 分 可 以 为 攻击 者 
清理 出 一 条 通 向 受害 者 的 途径 ， 以 及 了 解 如 何 对 目标 进行 渗透 。 


在 可 口 可 乐 公 司 的 例子 中 ,点 击 链接 后 恶意 软件 就 加 载 到 了 目标 的 电脑 中 。 目 标 电脑 
被 攻击 后 ， 进 而 就 影响 到 了 整个 网 络 。 


在 公司 环境 下 ， 我 们 的 鱼 又 式 钓鱼 攻击 通常 在 OSINT 环节 之 后 展开 。 我 们 会 给 客户 
提供 报告 ， 其 中 包括 所 发 现 的 情报 、 如 何 利 用 这 些 情报 ， 以 及 发 送 鱼 叉 式 钓 鱼 攻击 邮 
件 后 的 结果 。 


展示 真实 的 鱼 叉 式 钓 鱼 攻击 的 例子 会 泄露 客户 的 信息 ,因此 我 只 能 在 这 里 列 出 一 些 主 
题 ， 但 你 可 以 看 到 它们 是 如 何 生效 的 。 


a 我 们 发 现 了 客户 的 家 庭 住址 ,以 及 他 们 附近 的 房子 正在 出 售 。 在 发 现 他 们 也 打算 出 
售 房子 时 ， 我 们 发 邮件 声称 为 他 们 提供 免费 的 房产 评 佑 。 

O 发 现 一 位 主管 喜欢 带 他 的 家 人 度假 ,而 他 们 最 喜欢 的 地 方 是 巴黎 后 ,我们 发 送 了 一 
封 鱼 又 式 钓鱼 邮件 ， 里 面 是 迷人 的 巴黎 春季 之 旅 的 打折 广告 。 

口 发 现 一 位 主管 24 年 零 10 个 月 前 毕业 于 一 所 军事 院 校 后 ,我 们 发 送 了 一 封 钓 鱼 邮 件 ， 
邀请 他 担任 25 周年 重 聚 大 会 时 的 重要 发 言 人 。 
Q 发 现 一 位 主管 的 女儿 “讨厌 她 父亲 ” 后 , 我 们 以 学 校 辅 导 员 的 名 义 发 送 了 一 封 邮件 ， 
邮件 里 包含 了 一 些 细节 和 一 份 PDF 格式 的 报告 。 




















































































































































































































这 些 内 容 可 怕 吗 ? 的 确 很 可 怕 。 这 些 主题 的 恶意 组 庸 置疑。 但 是 如 果 你 的 主管 拥有 你 
王国 的 钥匙 《我们 还 曾 和 持 有 核 设备 钥匙 的 人 一 起 共事 过 )， 那 么 此 类 测试 是 非常 必 
要 的 , 开展 这 方面 的 教育 可 以 让 人 们 和 他 们 的 公司 意识 到 钓鱼 攻击 是 一 种 多 么 可 怕 的 
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威胁 ， 并 帮助 他 们 抵御 所 面临 的 潜在 危险 。 


在 继续 之 前 ， 我 得 花 上 几 分钟 谈 谈 另 一 种 四 级 钓鱼 攻击 ， 否 则 我 可 能 会 遗漏 它 。 它 是 
一 种 多 重 攻击 ， 大 体 示例 如 下 。 


早上 11: 00， 约 翰 收 到 一 封 邮件 。 





























早上 11: 30, 约翰 接 了 一 通 “IT 部 门 的 拉 里 ” 打 来 的 电话 ， 拉 里 说 :“ 约 办 ,我 是 楼 
下 IT 部 门 的 拉 里 。 我 刚 给 你 发 了 一 封 邮 件 ， 里面 有 一 个 PDF 文档 是 关于 你 的 工作 站 
升级 路 径 的 。 我 需要 你 打开 它 ， 然 后 告诉 我 你 的 机 器 是 否 符合 这 些 条 件 。 











约翰 说 :“ 拉 里 ? U, REA” 约翰 点 开 附件 ， 然 后 说 :“ 拉 里 ， 文 件 崩 溃 了 ， 我 打 不 
ths. 

















拉 里 回答 道 :“ 约 输 ， 你 是 不 是 还 在 使 用 Acrobat 6.0? 我 们 应 该 在 两 个 月 前 为 你 进行 
了 升级 。 好 的 ， 让 我 把 它 男 存 为 成 一 个 你 可 以 打开 的 格式 。 我 会 在 午饭 之 后 打 电 话 给 
你 ， 然 后 把 新 文件 发 给 你 ， 好 吗 ?” 














约翰 说 :“ 好 的 ， 谢谢， 拉 里 。” 然 后 挂 了 电话 。 








与 此 同时 ,“ 拉 里 ” 正 利 用 他 刚刚 给 约 验 的 电脑 植 入 的 恶意 软件 回 网 络 发 起 攻击 。 








还 有 一 种 我 见 过 的 常见 并 有 效 的 办 法 : 攻击 者 给 主管 寄 来 一 个 全 新 的 硬件 ， 里面 脱 入 
了 恶意 设备 。 例 如 ,我 的 好 朋友 大 卫 ， 肯尼迪 制作 了 一 块 有 内 骨 设 备 的 键盘 ,攻击 者 
可 以 在 这 块 键盘 被 安装 后 访问 公司 网 络 。 























你 认为 有 多 少 主管 会 在 收 到 一 个 全 新 的 价值 两 百 美元 的 微软 键盘 后 把 它 安装 到 电脑 
上 ? 100%。 

















这 类 攻击 者 目标 非常 明确 ， 也 非常 有 针对 性 ， 他 们 不 会 广 撒 网 ， 而 是 只 用 一 根 鱼 又 捕 
鱼 。 很 多 时 候 这 类 鱼 叉 式 钓 鱼 攻击 都 能 捕 到 “鲸鱼 ”或 者 公司 里 的 “大 鱼 "。 
































我 们 已 经 定义 了 钓鱼 攻击 培训 项 目的 等 级 ， 那 么 下 一 个 问题 是 ， 你 该 从 何 处 开始 ? 
小 心 选择 你 的 级 别 


你 应 该 选择 哪 一 级 别 开 始 钓鱼 攻击 培训 ? 这 一 问题 实际 上 比 你 想象 中 容易 回答 一 些 ， 
大 体 可 分 为 两 种 不 同 阵营 。 
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口 阵营 一 “在 你 能 钩 到 马 林 鱼 前 ， 你 该 从 鲈鱼 开始 。 这 意味 着 你 应 该 从 简单 一 点 的 
钓鱼 攻击 即 一 级 钓鱼 攻击 开始 ， 先 来 看 看 员工 做 得 怎么 样 ， 在 这 一 级 中 查 漏 补缺 ， 
然后 再 提升 到 二 级 难度 。 尽 可 能 从 简单 的 开始 ， 然 后 提升 难度 。 

口 阵营 二 ”深海 捕 鱼 是 为 了 捕 到 更 大 的 鱼 。 这 意味 着 从 等 级 三 开始 逐渐 降低 难度 ， 

直到 你 找到 一 个 合适 的 等 级 ， 然 后 从 那里 开始 。 























你 该 如 何 选 择 ? 我 通常 喜欢 阵营 一 。 我 认为 这 可 以 让 员工 保持 良好 的 感觉。 他 们 会 觉 
得 自己 在 取得 胜利 ， 而 这 可 以 帮助 他 们 更 容易 适应 培训 。 这 是 最 好 的 方法 吗 ? 我 不 能 
断言 这 是 对 于 安全 工作 而 言 最 好 的 方法 , 但 我 可 以 说 这 是 最 好 的 让 人 开心 和 投入 安全 
项 目的 方法 。 












































我 也 把 经 验 和 项 目 时 间 纳 入 了 考虑 范围 。 下 面 是 一 些 我 经 历 过 的 情况 ， 以 及 我 决定 处 
理 的 方式 。 
































口 公司 一 有 一 家 公司 要 求 我 进行 钓鱼 攻击 培训 。 这 家 公司 此 前 从 来 没有 把 钓鱼 攻击 
纳入 其 安全 意识 训练 中 , 但 是 他 们 的 领导 知道 这 是 个 问题 。 他 们 想 要 每 个 季度 只 开 











展 一 次 钓鱼 攻击 训练 。 











我 决定 从 二 级 攻击 的 最 简易 程度 开始 , 在 第 一 季度 对 所 有 员工 进行 钓鱼 攻击 , 然后 
开展 培训 。 第 二 季度 时 ,难度 提升 到 二 级 攻击 的 较 难 程度 ,然后 继续 开展 培训 。 第 
三 季度 开始 三 级 攻击 最 简易 程度 的 钓鱼 攻击 。 我 们 看 到 了 点 击 率 的 显著 增加 , 同时 
报告 率 也 有 了 一 点 增长 。 于 是 第 四 季度 我 们 停留 在 三 级 攻击 的 最 简易 程度 。 点 击 率 
下 降 了 。 针 对 这 家 公司 的 持续 培训 和 测试 看 起 来 还 是 奏效 的 。 















































口 公司 二 我 们 被 要 求 再 次 开展 这 一 培训 。 这 家 公司 已 经 自己 组 织 了 一 年 的 钓鱼 攻击 
训练 ， 他 们 的 点 击 率 很 低 ， 上 级 对 此 也 很 支持 。 











我 们 每 个 月 都 对 所 有 员工 进行 钓鱼 攻击 。 我们 以 二 级 攻击 的 一 般 程 度 开 始 ,， 然 后 每 
月 提升 难度 。 第 四 个 月 时 我 们 已 经 处 于 三 级 攻击 的 一 般 程 度 了 。 我 们 发 现 虽然 点 击 
率 增加 了 ， 但 是 接 下 来 的 几 个 月 里 ， 有 更 多 的 人 识别 出 了 钓鱼 攻击 。 





























正如 你 所 看 到 的 , 你 从 哪 种 难度 开始 取决 于 很 多 因素 。 请 记 住 下 面 这 个 简短 的 问题 清单 。 


口 你 曾经 进行 过 钓鱼 攻击 吗 ? 








52 ”开展 培训 | 113 


SH 





O 你 的 上 级 ( 即 可 能 阻止 培训 进行 的 人 ) 坚定 支持 你 的 计划 吗 ? 
口 你 想 多 久 进行 一 次 钓鱼 攻击 ? 
口 是 否 要 对 所 有 员工 进行 钓鱼 攻击 ? 

















5.2.3 ”编写 钓鱼 攻击 邮件 

你 已 经 划 定 了 基线 ; 选择 了 难度 ; 每 个 人 都 同意 参与 ; 准备 好 开始 钓鱼 攻击 了 。 如 果 
你 独自 开展 这 个 项 目 ， 并 且 使 用 钓鱼 攻击 工具 协助 你 ,那么 你 可 能 会 跃跃欲试 ， 想 要 
从 软件 中 选 一 个 模板 ， 然 后 点 击 “ 发 送 ”。 

















先 别 急 着 点 击 。 在 你 着 手 进行 钓鱼 攻击 前 ,让 我 们 谈 谈 可 以 帮助 你 进行 完美 的 钓鱼 攻 
击 的 一 些 办 法 。 

有 些 软 件 里 的 模板 的 确 不 错 , 但 是 它们 会 对 你 的 公司 起 作用 吗 ? 通过 对 本 章 所 提出 的 
问题 的 回答 ， 你 应 该 对 你 想 进行 哪 种 钓鱼 攻击 有 了 清晰 的 答案 〈 例如 是 否 附 上 商标 、 
是 否 使 用 指向 性 话语 、 是 否 与 人 合作 )。 
























































然后 你 要 决定 如 何 更 好 地 帮助 员工 。 让 我 来 说 明 一 下 这 一 点 。 我 通常 都 是 很 实际 的 。 
我 喜欢 从 新 闻 里 找 一 些 例子 , 然后 用 它们 说 明 坏 人 通常 是 怎么 做 的 。 有 这 么 一 个 例子 ， 
发 生 在 “9 ' 11” 事 件 的 两 年 还 是 三 年 后 ， 当 时 临近 “9 ' 11” 的 纪念 日 。 

















互联 网 上 有 很 多 慈善 机 构 在 寻求 帮助 和 捐款 。 我 以 一 家 虚构 的 慈善 机 构 的 名 义 写 了 一 
封 关 于 “9 ' 11” 事 件 的 钓鱼 攻击 邮件 。 我 对 此 很 自 察 ， 它 看 起 来 十 分 逼真 ， 利 用 了 
各 种 激发 情绪 的 手段 。 























在 正式 发 送 前 ,我 把 这 封 邮件 发 给 人 事 部 门 审 核 ， 人 事 部 门 拒绝 了 我 的 发 送 请 求 。 我 
不 能 理解 这 是 为 什么 ， 于 是 我 们 开 了 一 个 会 。 在 那 家 公司 里 ， 有 很 多 人 在 那 次 袭击 中 
失去 了 家 人 和 朋友 。 如 果 公 司 为 了 开展 钓鱼 培训 授权 发 送 这 么 一 封 邮件 ， 那 他 们 会 怎 


么 想 ? 









































我 能 听见 你 的 抱怨 和 难以 置信 的 叹息 :“ 但 是 坏人 会 那么 做 ， 所 以 人 们 需要 学 习 !” 我 
同意 这 一 观点 , 但 我 并 不 是 坏人 。 我 在 乎 我 的 客户 ; 我 在 乎 他 们 的 感受 和 他 们 的 员工 。 
不 想 发 送 会 造成 永久 性 情感 伤害 的 钓鱼 邮件 。 那 封 邮件 并 没有 发 出 ， 而 我 从 那 件 事 
里 学 到 了 很 多 。 























过 
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还 有 一 个 反面 的 例子 。 我 曾经 发 送 过 一 个 二 级 攻击 的 最 简易 程度 的 钓鱼 邮件 。 邮 件 大 
意 如 下 : “感谢 您 将 信用 卡 邮件 地 址 更 改 为 attacker@hack.com。” 当 然 原 话 比 这 更 动人 
一 些 ， 不 过 这 是 主要 前 提 。 

















我 们 把 这 封 邮件 发 给 了 上 万 人 。 很 多 人 感到 不 安 , 但 更 多 人 克服 了 这 种 情绪 。 然 而 有 
一 位 女士 极其 不 安 ,， 以 至 于 取消 了 所 有 的 信用 卡 ， 转 移 了 银行 账户 ， 并 回复 邮件 称 将 
以 死相 威胁 o 











我 采取 了 与 之 前 “9 ' 11” 的 例子 中 完全 不 同 的 视角 来 看 待 此 事 。 这 位 女士 点 击 了 链 
接 ， 链 接 将 她 引 向 一 个 教育 页 面 ， 但 即使 看 到 这 个 教育 页 面 ， 她 也 依然 决定 取消 所 有 
的 信用 卡 和 银行 账户 ， 而 不 是 采取 她 之 前 被 教导 过 的 方法 〈 例如 给 IT 部门 打 电 话 )。 
如 果 她 按照 之 前 学 到 的 去 做 ， 那 么 她 也 许 就 不 会 这 么 心疼 了 。 














针对 你 的 培训 ， 选 择 适 合 你 难度 级 别 ， 然 后 编写 一 些 符合 前 文 提 及 的 原则 的 邮件 ， 要 
让 它 看 起 来 可 信 ， 然 后 开始 钓鱼 攻击 。 





警告 ” 记 住 ， 你 知道 这 是 钓鱼 攻击 ， 因 为 是 你 发 起 的 ， 所 以 其 中 的 信息 在 你 看 来 一 
目 了 然 。 但 是 不 要 认为 你 看 得 很 清楚 就 意味 着 别人 也 能 看 得 很 清楚 。 开 始 时 
尽量 简单 一 点 吧 。 


5.24 追踪 和 统计 


第 7 章 会 介绍 很 多 用 于 钓鱼 攻击 数据 追踪 的 软件 。 牢 记 你 想 要 什么 软件 和 什么 功能 ， 
因为 你 的 选择 会 影响 你 收集 到 什么 样 的 数据 。 电 子 邮件 营销 软件 只 能 大 概 了 解 谁 点 击 
了 邮件 ， 而 使 用 强大 的 SaaS ( Software as a Service， 软 件 即 服务 ) 解决 方案 可 以 追踪 
每 一 个 你 想 要 知道 的 细节 ， 因 此 二 者 的 区 别 很 大 。 























我 不 会 在 这 里 花 时 间 谈 如 何 选择 软件 ,但 我 要 说 一 点 : 项 目 中 所 需 的 统计 方式 和 数据 
可 以 帮助 你 作出 决定 。 











目前 为 止 ， 你 可 能 已 经 有 了 一 个 完美 无 缺 的 培训 计划 ， 但 是 没有 最 好 的 数据 ， 这 一 切 
都 是 无 用 的 , 不 是 吗 ? 这 也 是 我 们 发 现 的 平庸 和 专业 的 钓鱼 攻击 者 (我 说 的 是 以 此 作 
为 一 种 公司 服务 的 人 员 ) 之 间 最 大 的 差别 。 
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简单 的 区 别 体现 在 他 们 收集 到 的 数据 和 他 们 呈现 给 公司 的 数据 的 差别 上 。 我 听 过 有 人 
说 :“ 我 们 只 需要 点 击 率 ， 对 吧 ? ”不 ! 




















点 击 率 确实 重要 。 但 是 如 果 我 给 你 发 送 一 些 一 级 钓鱼 攻击 邮件 ,然后 你 的 点 击 率 是 ， 
例如 10%， 而 第 三 个 月 时 我 给 你 发 送 一 些 三 级 钓鱼 攻击 邮件 ， 然 后 点 击 率 到 了 
90%……' 点 击 率 只 会 让 员工 看 起 来 像 是 突然 都 变 成 了 钓鱼 傻瓜 ， 尽 管事 实 并 非 如 此 。 















































回想 一 下 开展 培训 的 原因 : 教导 员工 识别 、 报 告 和 抵御 钓鱼 邮件 攻击 。 什 么 样 的 统计 
数据 会 让 领导 觉得 自己 把 钱 花 在 了 对 的 地 方 ? 你 该 如 何 设置 项 目 以 最 大 化 收益 ? BE 
计数 据 可 以 告诉 你 什么 来 帮助 你 改善 项 目 ?” 我 将 会 回答 这 些 问 题 。 


只 是 统计 数据 而 已 ， 女 士 





正如 之 前 所 提 到 的 ， 你 得 首先 决定 什么 数据 对 你 而 言 是 重要 的 ， 然 后 才 是 下 一 步 。 很 
多 次 我 被 问 及 哪些 数据 是 重要 的 。 在 我 逐 项 告诉 你 它们 为 什么 重要 前 ， 想 想 谈 到 钓鱼 
攻击 时 ， 什 么 样 的 员工 才 是 好 员工 。 你 知道 点 击 钓鱼 邮件 不 好 ， 不 点 击 钓鱼 邮件 好 。 
这 很 简单 一 一 那么 其 他 好 或 者 坏 的 行为 呢 ? 












































希望 你 已 经 给 员工 设置 了 一 个 可 以 报告 钓鱼 邮件 的 机 构 。 如 果 员 工 可 以 把 他 们 发 现 的 
任何 疑似 钓鱼 攻击 的 邮件 都 发 送 到 合适 的 “权威 机 构 ” 那 里 ,那么 你 们 公司 就 能 省 很 
多 心 了 ， 甚 至 还 能 发 现 几 个 漏洞 。 因 此 ， 报 告 钓 鱼 攻击 邮件 的 员工 是 很 棒 的 。 


























我 也 常常 被 问 及 员工 该 如 何 报告 。 最 好 的 建议 是 让 他 们 转发 邮件 给 部 门 中 的 指定 邮 
箱 。 转 发 的 邮件 可 以 用 于 分 析 ， 员 工 也 可 以 得 到 接 下 来 该 怎么 做 的 建议 。 有 些 公司 提 
出 指定 一 个 电话 号 码 用 来 接收 报告 , 但 是 可 以 想象 , 如 果 公 司 里 有 5000 个 员工 ，50% 
的 员工 都 打 电 话 来 报告 钓鱼 邮件 ， 并 且 他 们 每 天 都 会 收 到 一 封 邮件 ,那么 工作 压力 就 
太 大 了 ， 也 不 会 有 什么 效果 。 





























下 面 是 一 些 我 认为 重要 的 统计 数据 。 




















Q 点 击 人 数 。 这 是 最 明显 的 数据 ,但 也 是 最 必要 的 。 这 是 你 的 基线 。 这 些 数字 告诉 你 
有 多 少 人 将 公司 置 于 危险 之 中 , 以 及 多 少 人 需要 进一步 培训 。 然 而 单独 这 一 数据 并 
不 能 告诉 你 很 多 信息 。 你 需要 以 此 为 基础 来 获得 更 多 数据 。 

口 报告 钓鱼 攻击 的 人 数 。 假 设 你 们 公司 有 供 员工 报告 钓鱼 邮件 的 机 构 。 这 是 “解决 ” 
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钓鱼 邮件 问题 的 过 程 中 非常 重要 的 一 部 分 。 我 们 的 目标 是 创建 一 个 环境 , 让 所 有 的 

员工 在 看 到 钓鱼 邮件 后 一 一 并 在 他 们 点 击 前 一 一 进行 报告 。 事实 上 你 也 需要 让 你 的 

员工 知道 点 击 后 该 怎么 办 。 删除 邮件 不 是 一 个 好 办 法 ,他们 需要 一 个 机 构 来 报告 情 

况 。 有 很 多 次 我 开始 和 公司 工作 时 , 第 一 件 事 就 是 帮助 这 家 公司 设立 这 样 一 个 机 构 ， 

这 是 很 重要 的 一 步 。 

让 我 们 回 到 假设 上 来 。 如 果 你 们 公司 有 报告 机 构 ， 那 么 你 需要 知道 每 次 钓鱼 攻击 中 

有 和 多少 人 发 现 了 钓鱼 攻击 并 且 报 告 给 了 机 构 , 我 会 告诉 你 一 些 追 踪 这 一 数据 的 方法 。 

点 击 却 未 报告 的 人 数 。 你 知道 点 击 钓鱼 邮件 是 不 好 的 ， 而 报告 钓鱼 邮件 是 好 的 ,所 

以 那些 点 击 而 不 报告 的 员工 占 全 了 你 不 希望 他 们 做 的 事 。 这 些 员工 需要 更 多 的 训练 

和 帮助 。 

口 点 击 并 报告 的 员工 人 数 。 员 工 点 击 了 邮件 但 仍然 报告 了 这 一 情况 是 件 好 事 。 为 什 
么 ? 这 意味 着 尽管 这 些 人 采取 了 一 些 你 不 希望 他 们 采取 的 行动 , 但 是 通过 培训 , 他 
们 意识 到 了 风险 依然 存在 ， 并 采取 了 积极 的 措施 。 

D 未 点 击 也 未 报告 的 人 数 。 因 为 这 一 类 员工 没有 点 击 ， 所 以 并 没有 漏洞 上 的 风险 。 然 
而 你 仍然 想 要 让 这 些 员 工 对 他 们 收 到 的 可 疑 信息 进行 报告 。 报告 是 每 个 员工 都 要 了 
解 的 重要 的 一 步 。 

O 未 点 击 却 报告 的 人 数 。 这 一 类 员工 属于 最 佳 员 工 。 他 们 采取 了 如 你 所 期 望 的 行动 ， 
不 仅 识别 出 了 钓鱼 攻击 邮件 ， 还 报告 给 机 构 ， 帮 助 了 其 他 人 。 




























































































口 




















因为 你 知道 最 需要 帮助 的 员工 是 那些 点 击 了 钓鱼 邮件 但 是 没有 报告 的 ,而 最 佳 员 工 是 
那些 没有 点 击 还 进行 了 报告 的 , 所 以 你 会 想 要 了 解 每 类 员工 的 人 数 , 并且 和 希望 后 者 在 
每 次 攻击 中 都 有 所 增加 ， 因 为 这 说 明 你 的 辛勤 工作 有 了 回报 。 








有 很 多 方法 追踪 这 些 数据 ， 但 是 我 发 现 帮助 ITAR EO (或 者 其 他 管理 钓鱼 攻 
击 的 部 门 ) 设立 一 些 规则 可 以 使 得 这 一 任务 更 加 轻松 。 





举 个 例子 ， 我 们 有 时 候 会 在 邮件 中 骨 入 一 段 与 背景 色 (白色 ) 相同 的 文字 。 我 们 称 其 
为 “白色 文字 ”。( 我 是 从 哪儿 学 到 这 么 棒 的 点 子 的 ? ) 这 段 文字 需要 包含 一 些 在 常规 
句子 中 肯定 不 会 用 到 的 字符 ， 例 如 Thl$i$aphi$hingemail0rz-DATEHERE。 




















然后 我 们 设 定 一 条 规则 ， 让 用 来 收集 报告 信息 的 邮箱 中 的 某 个 指定 文件 夹 一 一 如 
Oct201X Phishing Reporters 按 条 件 过 滤 。 除 非 你 的 SaaS 解决 方案 有 办 法 让 你 追踪 
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〈《 详 见 第 7 3€ )， 如 此 操作 后 ， 你 会 在 月 底 得 到 一 个 清单 。 通 过 简单 的 Excel 技巧 ， 你 
可 以 将 此 清单 与 另 一 份 列 出 了 谁 点 击 了 邮件 、 谁 没有 点 击 等 信息 的 列表 进行 对 照 , 这 
样 你 就 得 到 了 想 要 的 数据 。 





我 们 甚至 为 那个 特殊 的 邮箱 植 和 人 了 一 些 强大 的 功能 ， 例 如 在 设 定 规则 后 ,如果 有 人 转 
发 了 邮件 到 此 邮箱 ,那么 发 件 人 会 收 到 一 封 感谢 邮件 ,告诉 他 们 邮件 中 发 现 了 钓鱼 攻 
击 ， 并 且 他 们 在 报告 这 一 点 上 做 得 很 好 。 


























如 果 你 决定 这 么 做 ， 那 么 早期 的 名 单 会 清晰 地 告诉 你 目前 情况 如 何 、 你 该 如 何 提升 ， 
以 及 你 需要 在 哪 方面 努力 。 


5.2.5 报告 


开展 项 目 所 做 的 种 种 努力 都 是 为 了 这 一 刻 : 报告 。 这 份 文档 的 背后 是 你 的 努力 、 汗 水 、 
泪水 、 心 血 、 决 策 和 痛 昔 艰辛 的 时 刻 ， 最 后 汇集 在 一 起 ， 才 成 就 了 这 一 份 无比 珍 贵 的 












































本 节 并 不 是 要 指导 你 如 何 写 报告 。 我 只 想 简单 地 描述 一 下 我 们 该 如 何 报告 数据 ， 因 为 
这 可 能 会 帮 你 想到 几 个 点 子 。 


让 我 们 以 X 公 司 为 例 。X 公 司 有 1000 名 员工 , 该 公司 希望 我 们 每 个 月 进行 一 次 钓鱼 攻 
击 。 公司 之 前 从 来 没有 进行 过 钓鱼 攻击 训练 , 他们 不 想 在 邮件 中 使 用 其 他 公司 的 商标 ， 
只 想 使 用 公司 内 部 的 商标 ， 不 过 要 先 从 一 级 钓鱼 攻击 开始 ， 然 后 再 看 看 该 如 何 进行 。 




















报告 中 包含 下 面 这 样 的 表格 。 
第 一 个 月 : 一 级 钓鱼 攻击 数 H 统计 数据 

发 送 邮 件数 1000 100% 
点 击 数 750 75% 
报告 数 50 5% 

点 击 /未 报告 705 70.5% 
点 击 /报告 45 4.5% 
未 点 击 /未 报告 15 1.5% 


未 点 击 /报告 5 0.5% 
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当然 这 里 还 会 有 一 些 图 表 和 支持 性 的 文字 。 在 第 二 个 月 ,我们 再 次 进行 了 钓鱼 攻击 。 
我 们 报告 了 与 上 个 月 相同 的 统计 数据 ， 但 是 也 注意 到 了 第 一 个 月 和 第 二 个 月 之 间 的 
区 别 。 
































第 二 个 月 : 一 级 钓鱼 攻击 A ë H 统计 数据 变 化 
发 送 邮 件数 1000 = — 
点 击 数 600 60% _15% 
报告 数 350 35% 30% 
点 击 /未 报告 350 35% -35.5% 
点 击 /报告 250 25% 20.5% 
未 点 击 / 未 报告 13 1.3% -0.2% 
未 点 击 / 报 告 100 10% 9.5% 








当然 我 可 以 继续 给 出 其 他 月 份 的 数据 ， 不 过 至 此 你 应 该 已 经 明白 了 。 你 可 以 展示 在 一 
个 月 的 时 间 里 , 你 的 培训 不 仅 帮助 减少 了 15% 的 点 击 数 , 也 增加 了 30% 的 报告 数 。 你 
还 可 以 展示 更 深层 的 信息 ， 那 就 是 你 的 培训 很 奏效 ， 因 为 最 需要 培训 的 群体 的 数目 减 
WT 35.5%， 而 “未 点 击 / 报 告 ”的 员工 数目 增加 了 9.5%。 

















这 一 类 报告 可 以 帮助 主管 了 解 你 做 出 的 成 绩 , 而 且 培 训 项 目的 确 值得 时 间 和 人 金钱 上 的 
投资 。 








那么 , 假如 你 的 数据 并 不 是 这 样 的 呢 ?” 如 果 你 发 现 优 秀 员工 (“未 点 击 /报告 ”) 的 数目 
下 降 ， 那 该 怎么 办 呢 ? 问 问 自己 以 下 问题 。 








O 我 越级 进行 钓鱼 攻击 了 吗 ? 从 一 级 跳 到 了 二 级 一 一 或 者 从 二 级 跳 到 了 三 级 一 一 有 
可 能 会 导致 短期 的 数目 减少 , 直到 你 对 员工 进行 这 一 级 别 的 训练 。 目 前 还 不 用 绝望 。 
a 发 起 攻击 期 间 , 员工 正在 休假 吗 ” 有 时 候 我 们 看 到 数据 波动 , 仅仅 是 因为 人 们 不 在 
那儿 或 者 并 不 专注 。 

a 我 的 培训 生效 了 吗 ? 认真 分 析 其 中 的 教学 环节 , 它 是 否 太 长 KGR, 或 者 大 苛刻 ? 
教学 环节 必须 在 快捷 、 简 单 和 有 效 之 间 找 到 平衡 点 。 





























不 管 原因 是 什么 ,除非 你 看 到 这 些 数据 每 个 月 都 在 朝 错误 的 方向 增长 ， 否 则 不 用 太 过 
在 意 。 





现在 来 谈 谈 最 后 一 点 : 教学 环节 。 
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5.2.6 Hawt. AB. BS 

教学 环节 是 整个 培训 项 目 中 最 重要 的 部 分 。 让 我 们 回 到 做 菜 的 类 比 上 。 你 买 了 最 好 的 
原料 。 你 的 菜 做 得 很 完美 。 你 让 客人 入 座 。 你 的 摆 盘 很 漂亮 。 你 将 菜肴 摆 上 和 餐桌 …… 
但 是 没有 餐具 。 

餐具 可 以 帮助 你 的 客人 享受 你 美味 的 菜肴 。 餐 具 让 用 餐 更 加 容易 ， 也 方便 人 们 咀嚼 和 
吸收 食物 的 营养 。 在 钓鱼 攻击 培训 中 ， 教 学 环节 就 是 你 的 餐具 。 你 必须 为 你 的 工作 找 
到 好 用 并 且 合适 的 餐具 。 


想象 一 下 你 在 多 位 客人 面前 放 了 一 碗 美味 可 口 的 鱼 片 汤 , 然后 却 只 给 了 他 们 一 
刀 。 因 此 ， 你 的 教学 〈 餐具 ) 应 该 与 菜肴 和 顾客 相 匹配 。 
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我 们 使 用 称 为 BEST 的 方法 来 开展 教学 。 


口 简洁 〈Brief) ”长 时 间 的 电脑 培训 会 让 员工 厌烦 ， 也 无 法 提高 教学 效率 。 只 用 

1 分钟 到 4 分 钟 的 时 间 来 完成 这 一 切 才 是 最 高 效 的 。 

O 有 效 (Effective) ”教会 你 的 员工 如 何 识别 钓鱼 攻击 ， 发 现 钓鱼 攻击 后 该 做 什么 ， 

以 及 到 哪里 去 报告 。 

口 fj (Simple) ”如 果 训 练 中 使 用 员工 不 熟悉 的 术语 ,或 者 发 出 的 指令 过 于 复杂 ， 

那么 员工 就 会 感到 泪 表 。 这 种 泪 丧 情绪 会 对 训练 产生 负面 影响 。 

O 体贴 (Thoughtful) ”你 知道 员工 每 天 有 多 少 事 要 做 吗 ? 每 天 要 承受 多 少 压 力 吗 ? 
如 果 你 知道 , 那么 你 就 会 在 准备 培训 课程 时 深思 熟 虑 , 这 样 才 不 会 给 他 们 繁忙 的 生 

活 增 添 额外 的 压力 。 与 此 同时 , 你 还 让 他 们 做 好 保护 自己 、 家 人 和 公司 免 受 钓鱼 攻 

击 侵害 的 准备 。 你 是 多 么 体贴 啊 ! 
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我 见 过 很 多 人 出 于 好 意 , 将 BEST 方法 改造 得 过 于 复杂 ,但 实际 上 造成 了 反 效 果 一 一 
这 会 让 员工 感到 受挫 或 者 迷茫 , 而 不 是 学 到 知识 并 受到 鼓舞 。 如 果 你 忠实 地 按照 BEST 
方法 来 操作 ， 那 么 通常 会 有 好 的 结果 。 例 如 ， 有 一 家 我 们 合作 过 的 公司 通过 使 用 本 章 
提 到 的 方法 ,从 一 开始 89% 的 点 击 率 和 不 到 10% 的 报告 率 ,改善 为 7% 的 点 击 率 和 75% 
的 报告 率 。 



































当然 ,培训 项 目的 最 后 一 步 是 重复 。 不 要 认为 一 年 一 度 的 钓鱼 攻击 培训 就 是 以 保护 你 
的 员工 。 
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我 来 问 你 一 个 问题 , 你 需要 如 实 回答 。 读 完 下 面 这 个 问题 后 , 你 有 五 秒 钟 的 时 间作 答 。 
请 说 出 过 去 一 年 的 安全 意识 培训 课程 中 最 高 的 三 个 分 数 …… 开 始 计时 。 


如 果 你 如 实 回答 ,那么 你 可 能 会 盯 着 这 个 问题 想 一 会 儿 ， 然 后 说 出 一 个 分 数 , 但 是 很 
可 能 说 不 齐 三 个 。 对 于 员工 收 到 钓鱼 攻击 邮件 后 的 反应 时 间 来 说 , 五 秒 钟 已 经 很 长 了 。 
不 要 指望 他 们 能 够 回忆 起 去 年 你 给 他 们 开展 的 训练 内 容 。 假 如 我 是 你 的 员工 ,那么 超 
过 45 天 你 就 不 用 指望 我 还 记得 了 。 











5.3 im 


读 完 这 一 章 后 ， 你 可 能 会 想 :“ 哇 ， 有 好 多 工作 要 做 。 我 得 磁 碰 运气 。” 实话 实 说 ， 开 
台 时 确实 需要 做 一 些 工 作 。 有 时 候 从 上 级 部 门 、 人 事 部 门 、 法 律 部 门 和 其 他 部 门 那里 
获取 授权 就 需要 不 少 努力 。 开 展 项 目的 同时 还 不 引起 所 有 人 的 反感 也 不 容易 。 但 是 一 
次 又 一 次 地 ， 我 们 在 帮助 公司 推进 项 目的 过 程 中 就 已 经 看 到 了 回报 。 




















有 一 家 公司 报告 称 与 邮件 有 关 的 恶意 事件 减少 了 7096. 7096! 仅 这 一 点 就 会 让 人 觉得 
前 面 所 做 的 一 切 都 是 值得 的 。 这 家 公司 可 以 讨厌 我 , 但 有 70% 的 员工 都 不 会 像 去 年 一 
样 遭 受 恶 意 软件 的 威胁 ， 这 就 足够 了 。 





























钓鱼 攻击 之 所 以 存在 ， 是 因为 对 恶意 攻击 考 来 说 ， 这 一 手段 简单 、 有 效 、 有 利 可 图 。 
你 需要 保持 警惕 与 顽强 的 精神 , 坚持 推动 培训 继续 下 去 , 并 努力 让 它 实 现 效果 最 大 化 。 





在 帮助 你 选择 软件 前 ,还 有 一 个 话题 需要 讨论 ， 那 就 是 公司 政策 问题 。 在 你 翻阅 下 一 
章 前 , 请 停 下 来 想 想 , 你 觉得 你 可 以 从 积极 的 、 消 极 的 或 丑陋 的 公司 政策 里 学 到 什么 。 
下 章 见 。 





456 
BURN. THR ALBANY: 公司 政策 
及 其 他 


“受过 教育 的 人 并 不 记忆 事实 ， 而 是 尊重 事实 。” 
汤姆 . 希 勒 ( Tom Hechler ) 





政策 似乎 在 有 些 人 眼中 根本 没有 讨论 的 必要 。 我 几乎 想 要 把 这 一 话题 从 这 本 书 里 去 
fé, 但 是 我 和 米黄 尔 很 快意 识 到 : 如 果 我 们 不 讨论 手头 这 些 例子 、 不 讨论 那些 应 用 过 
的 方法 以 及 曾 被 我 们 支持 或 质疑 的 决策 ， 那 么 这 本 书 就 会 存在 缺憾 。 


























为 什么 理解 安全 政策 的 实施 是 如 此 重要 ? 本 章 中 的 很 多 内 容 看 上 去 都 还 不 错 ， 我 们 
也 明白 为 什么 公司 会 认为 它们 有 效 。 我 们 也 从 客户 那里 学 到 了 一 些 东西 ， 并 想 要 分 


PAK 








在 考虑 本 章 的 最 佳 组 织 方式 时 ,我 们 起 初 打算 把 每 一 节 分 成 积极 的 、 消 极 的 和 丑陋 的 
这 几 个 方面 …… 然 而 很 快 我 的 清单 被 消极 的 和 丑陋 的 部 分 占 满 了 ,于 是 我 们 决定 改变 
这 一 组 织 方式 o 





我 会 在 本 章 中 把 每 个 想法 或 者 政策 摆 出 来 ， 然 后 从 以 下 三 个 角度 来 讨论 。 

















e. 


122 | 第 6 章 积极 的 、 消 极 的 和 丑陋 的 :公司 政策 及 其 他 














口 这 一 政策 、 主 意 或 者 想法 的 定义 是 什么 ? 
口 为 什么 它 是 消极 的 或 者 丑陋 的 ? 
口 如 何 改进 这 一 政策 ? 


























我 不 希望 让 任何 人 感觉 糟糕 ;我 希望 本 章 能 够 帮助 你 思考 这 些 政策 为 什么 无 效 ， 以 及 
它们 应 如 何 改进 才能 在 你 的 钓鱼 攻击 培训 中 起 到 积极 作用 。 














让 我 们 开始 吧 。 


6.1 跟着 感觉 走 : 情绪 和 政策 


我 大 概 17 岁 时 开始 定期 健身 。( 我 知道 …… 发 生 了 什么 ? ) 因为 那 时 我 年 轻 、 活 跃 并 
且 意 志 坚 定 ， 所 以 很 快 就 浑身 都 练 出 了 肌肉 。 








时 间 一 天 天 过 去 ， 我 还 在 继续 健身 。 当 我 年 纪 大 一 些 时 ， 有 一 天 我 发 现在 健身 房 里 有 
一 群 狂热 的 举重 爱好 者 。 他 们 不 停 地 往 杠 铃 上 加 夸 码 ， 而 我 有 些 不 甘 了 示弱 一 一 我 宣称 
自己 “当然 ”也 可 以 举 起 同样 的 重量 。 








我 身 在 举重 床上 , 随 着 杠铃 的 下 沉 , 我 意识 到 犯 了 一 个 错误 , 但 是 我 扭 动 着 哼 了 一 声 ， 
推 了 一 把 ， 又 重新 举 起 了 它 。 接 着 我 重复 了 一 次 这 个 动作 ,感觉 自己 像 是 校园 里 最 强 
壮 的 小 伙 子 。 体 育 馆 的 另 一 头 有 一 位 教练 看 见 了 我 白痴 般 的 行为 。 过 了 一 会 儿 ， 他 来 
邀请 我 去 他 那 边 。 接 下 来 他 要 我 和 他 一 起 练 举重 ， 而 他 的 杠铃 两 头 只 有 两 个 很 小 的 夸 
码 。 我 傲慢 地 表示 : 这 对 于 我 之 前 的 胜利 来 说 只 算 热身 而 已 。 然 而 他 躺 在 举重 床上 ， 
在 我 面前 连续 做 了 10 次 机 噩 般 标 准 、 和 舒缓 、 清 晰 的 推举 动作 ， 然 后 问 :“ 能 让 我 教 你 
正确 的 举重 方法 吗 ? ” 



































他 和 我 谈论 了 身 形 、 手 臂 位 置 、 表 部 拱 起 , 并 指出 了 我 所 有 做 错 的 地 方 。 我 躺 在 那里 ， 
用 正确 的 姿势 做 了 5 次 推举 ， 然 后 就 又 回 到 了 以 前 的 状态 。 他 纠正 了 我 ， 然 后 我 又 试 
了 一 次 。 几 周 的 练习 之 后 ,我 的 表现 突飞猛进 。 当 然 我 用 的 是 比 之 前 更 小 的 奔 码 ， 但 
是 我 也 能 做 出 一 连 串 机 器 般 标准 的 动作 了 。 















































几 个 学 期 后 , 我 又 遇 到 了 之 前 在 健身 房 里 的 伙伴 , 发 现 他 们 的 动作 都 能 做 得 非常 到 位 。 
我 问 他 们 当时 为 什么 不 告诉 我 我 做 得 很 糟糕 ， 他们 轻 摘 痰 写 地 说 : “ 哦 ,你 当时 正在 
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练习 ， 我们 可 不 想 让 你 泄气 。” 感 谢 那 位 教练 教 给 了 我 正确 的 方式 ， 并且 改变 了 我 的 
一 生 (我 是 说 健身 生涯 )。 











6.1.1 EX 


让 我 直接 摆 出 事实 : 你 需要 关注 你 的 员工 ， 考 虑 他 们 的 感受 ， 以 及 他 们 会 对 你 的 钓鱼 
攻击 有 何 反应 。 




















这 么 说 来 ， 这 一 政策 主要 出 现在 过 分 注重 以 上 事实 的 公司 里 。 没 错 ， 你 必须 关心 你 的 
员工 


工 , 但 是 这 会 阻碍 你 进行 真实 的 钓鱼 攻击 ， 因 为 你 不 想 要 任何 人 失望 。 因 为 想 要 避 
免 人 们 感觉 受挫 ， 所 以 你 不 愿意 指出 他 们 的 “错误 姿势 ” 吗 ? 


因为 担心 你 的 员工 无 法 应 付 复杂 的 钓鱼 攻击 邮件 , 所 以 你 会 限制 钓鱼 攻击 尝试 的 范围 
和 深度 吗 ? 我 们 见 过 有 公司 一 直 把 钓鱼 攻击 的 难度 保持 在 一 级 ( 甚至 更 简单 )， 这 样 
他 们 就 可 以 对 外 说 他 们 进行 了 钓鱼 攻击 培训 , 但 事实 上 他 们 的 员工 从 未 学 过 如 何 辨 别 
真实 的 钓鱼 攻击 。 
































6.1.2 ”消极 之 处 


认为 体谅 每 个 人 的 感受 优先 于 教学 需要 是 很 糟糕 的 ， 因 为 它 会 限制 你 开展 教学 环节 。 
让 我 用 举重 的 例子 来 说 明 这 一 问题 。 锻炼 肌肉 首先 需要 用 正确 的 姿势 和 合适 的 重量 破 
坏 原 有 的 肌纤维 , 再 让 它 恢复 和 增长 ,然后 重复 这 一 过 程 。 过 于 轻松 的 训练 无 法 破坏 
你 的 肌纤维 。 同 理 ， 你 不 能 在 没有 任何 突破 的 情况 下 练 出 钓鱼 攻击 肌肉 。 


























6.1.3 ”如 何 改进 


为 了 正确 地 训练 你 的 钓鱼 攻击 肌肉 ， 你 需要 随 着 时 间 推 移 来 增加 钓鱼 攻击 的 “举重 夸 
码 ”。 话 虽 如 此 ， 你 不 必 一 味 增加 难度 而 全 然 不 顾 人 们 的 感受 , 但 钓鱼 攻击 需要 回归 
现实 。 





我 同意 避免 使 用 可 能 过 于 个 人 化 的 主题 ， 因 为 这 会 导致 人 们 感觉 受到 伤害 或 者 被 冒 
犯 。 但 是 你 该 如 何 把 握 不 越过 那 条 线 呢 ? 在 此 我 无 法 为 你 回答 这 一 问题 一 一 这 是 需要 
你 自己 分 析 和 决定 的 。 
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6.2 老板 是 例外 


我 是 看 着 你 学 的 ! ”我 和 朋友 用 这 人 句 话 开玩笑 可 能 超过 10 万 次 了 。 这 人 句 话 源 于 美 
无 毒品 合作 组 织 ( Partnership for a Drug-Free America ) 在 1987 年 的 一 则 非常 严肃 的 公 
益 广 告 。 这 则 公益 广告 中 ,一 位 年 轻 人 遭 到 他 的 父亲 质问 ， 因 为 年 轻 人 的 母亲 在 壁橱 
里 发 现 了 一 盒 毒 品 。 

















这 位 父亲 责骂 他 的 儿子 并 问 : “是 谁 教 你 吸毒 的 ? ”儿子 最 终 停止 了 抵抗 ， 喊 出 了 那 
句 令 人 心寒 的 话 : “是 你 ! 我 是 看 着 你 学 的 。” 











这 则 公益 广告 强调 了 与 每 个 人 都 相关 的 重要 的 一 点 : 不 要 认为 自己 地 位 高 就 可 以 从 规 
则 中 其 免 。 


6.2.1 定义 


当 我 们 帮助 一 家 公司 开展 钓鱼 攻击 培训 时 ， 我 们 会 努力 工作 来 局 得 老板 的 认可 。 我 
们 一 般 会 在 提交 10 次 建议 、 参 加 50 次 会 议 、 发 送 几 百 封 邮件 后 获得 许可 。 在 我 们 花 
费 了 如 此 多 精力 让 一 切 开始 运转 后 ， 我 们 知道 整个 培训 项 目 是 否 被 接受 就 处 于 一 线 
之 间 了 。 


























由 于 公司 联络 人 不 想 有 任何 事情 阻碍 我 们 开展 培训 ， 他 们 有 时 候 会 说 : “我 们 将 会 把 
C 级 领导 人 排除 在 测试 之 外 。” 我 们 对 此 感到 迷茫 ， 不 知 如 何 是 好 ， 他 们 可 能 会 补充 
说 : “他 们 不 太 需 要 这 个 。” 





2 
"Ro 


6.2.2 ”消极 之 处 


也 许 你 很 清楚 为 什么 不 把 C 级 领导 人 纳入 培训 是 很 糟糕 的 ， 但 还 是 让 我 来 解释 一 下 
吧 。 想 想 1987 年 的 那 则 公益 广告 : “我 是 看 着 你 学 的 ! ” 






































那 则 公益 广告 给 我 们 上 了 重要 的 一 课 : 正确 的 行为 和 态度 是 自 上 而 下 传播 的 。 如 果 C 
级 领导 人 不 愿意 像 其 他 人 一 样 接受 测试 ， 那 么 这 会 向 员工 传达 什么 样 的 信息 ? 
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6.2.3 如何 改进 

男 一 方面 ， 当 老板 100% 投 入 到 培训 中 时 , 员工 的 态度 也 会 显著 改变 , 变 得 积极 和 顺 
从 。 当 员工 看 见 高 层 愿意 接受 培训 并 且 接 受 测试 时 ,他们 就 不 会 感觉 自己 是 被 单独 挑 
出 来 的 。 









































有 一 家 公司 是 这 样 处 理 这 一 问题 的 。 该 公司 的 总 裁 写 了 一 封 邮件 发 给 全 公司 以 表明 他 
培训 的 支持 。 他 其 至 分 享 了 他 第 一 个 月 的 钓鱼 邮件 点 击 率 。 当 员工 们 看 到 总 裁 不 仅 
参与 了 培训 ， 还 在 第 一 封 钓鱼 邮件 上 中 招 时 ， 他 们 对 培训 的 好 感 增加 ， 也 看 到 了 公司 
对 培训 的 支持 。 在 此 如 果 有 员工 说 “我 是 看 着 你 学 的 ”， 那 就 真是 件 好 事 了 。 














> 




















63 ”我 只 会 修补 其 中 一 个 漏洞 


当 我 年 轻 时 ,我 曾 是 一 名 狂热 的 冲浪 爱好 者 。 我 有 一 块 只 能 在 小 浪花 上 冲浪 的 老 冲 浪 
板 ， 它 又 大 又 厚 。 像 很 多 年 轻 人 一 样 ， 我 不 懂得 爱惜 自己 的 东西 ， 因 此 我 经 常 随意 地 
在 海浪 上 横冲直撞 。 











就 这 样 用 了 几 个 月 后 ， 冲 浪 板 上 开始 出 现 损伤 一 一 一 个 在 底部 ,一 个 在 侧 边 上 。 明 天 
风浪 会 变 大 ， 因 此 我 不 想 花 太 多 时 间 修 理 它 。 我 随便 抹 了 些 树脂 ， 加 上 玻璃 纤维 ， 修 
补 了 一 下 底部 。 











接着 我 看 了 一 眼 侧 边 ， 心 想 : “这 需要 很 多 砂纸 来 打磨。 如 果 明 天 来 不 及 怎么 办 ? 我 
该 没 办 法 冲浪 了 。” 于 是 我 找 了 一 些 蜡 和 宽 胶 带 ， 快 速 修 补 了 一 下 。 








我 对 自己 的 修补 很 满意 ， 并 且 觉 得 已 经 没 问 题 了 ， 于 是 第 二 天 就 出 去 冲浪 了 。 然 而 几 
个 小 时 后 ， 我 注意 到 冲浪 板 的 底部 吓 了 出 来 ， 变 得 软 乎 乎 的 。 


可 以 确定 ， 快 速 修补 工作 没 能 经 受 住 考 验 。 烈 日 当头 ， 冲 浪 板 的 蜡 融 化 并 脱离 原 处 ， 
于 是 水 渗 了 进来 ， 冲 浪 板 变 得 沉重 、 充 满 积 水 ， 最 后 坏 了 。 那 天 我 也 没 能 好 好 冲浪 。 

















6.3.1 定义 


也 许 因 为 预算 , 也 许 因为 错误 推理 ， 也 许 因 为 糟糕 的 顾问 。 无 论 原 因 是 什么 ,选择 只 
测试 一 部 分 人 就 好 像 只 修补 两 个 漏洞 的 其 中 一 个 一 样 。 
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钓鱼 攻击 的 结果 是 如 此 主观 和 因 人 而 异 ， 你 不 能 只 测试 一 部 分 人 就 说 “好 了 ,我 们 测 
试 的 30% 的 人 中 有 10% 的 点 击 率 , 我 们 干 得 不 错 ”, 或 者 “他 们 有 90% 的 点 击 率 ， 每 
个 人 都 要 中 招 了 .……” 





记 住 ， 只 要 有 一 次 点 击 就 会 毁 了 你 的 网 络 。 你 真 的 确定 攻击 者 只 会 攻击 受 测试 的 员工 
吗 ? 
6.3.2 ”消极 之 处 


每 个 人 受 钓鱼 攻击 和 培训 的 影响 的 程度 都 是 不 一 样 的 。 选 择 随机 数目 的 员工 或 者 一 小 
部 分 员工 接受 测试 ， 并 不 能 告诉 你 公司 在 钓鱼 攻击 中 整体 表现 如 何 。 





























同样 ， 如 果 接 受 测 试 的 人 群 已 经 对 这 个 测试 或 者 对 钓鱼 攻击 有 所 了 解 ， 那么 这 可 能 导 
致 你 产生 一 种 你 们 公司 已 经 准备 好 应 对 钓鱼 攻击 的 错觉 。 


6.3.3 ”如 何 改进 


我 不 能 解决 预算 问题 ， 并 且 话 说 回来 ， 有 总 比 没有 好 。 我 通常 认为 相 比 于 全 员 投 入 而 
言 ， 小 样本 测试 效果 并 不 好 ， 虽 然 有 些 情 况 下 这 可 能 是 必要 的 。 然 而 如 果 这 种 小 样本 
测试 并 非 必要 , 那 我 建议 还 是 别 做 了 。 测 试 一 个 小 样本 对 你 们 公司 而 言 并 没有 什么 用 ， 
而 且 你 最 不 想 看 到 的 就 是 培训 以 失败 告终 。 
































假设 你 只 被 准许 进行 一 次 钓鱼 攻击 测试 。 我 理解 你 会 做 你 该 做 的 事 , 但 是 从 这 一 次 测 
试 中 得 来 的 数据 并 不 能 得 出 你 们 有 多 安全 的 结论 。 相反 ， 你 可 以 用 它 来 说 明 下 一 季 
或 下 一 年 里 需要 做 什么 。 这 种 情况 下 , 我 认为 它 是 一 个 很 有 力 的 用 来 划 定 基线 的 工具 。 
但 是 像 这 样 的 单一 测试 ， 如 果 必 须要 做 ， 那 么 其 结果 应 严格 视 为 基线 参考 。 





KE 








6.4 ” 太 多 训练 使 人 厌倦 

你 曾经 受 够 了 某 些 事 的 折磨 吗 ? 我 记得 当 我 第 一 次 开始 学 习 另 一 门 语言 时 , 我 只 愿意 
达到 最 低 要 求 ， 还 逃避 作业 ,仿佛 它 是 某 种 坏 东 西 。 因 此 ， 我 并 没有 进步 得 像 我 想象 
中 那样 快 。 当 面临 考试 或 者 提问 时 ， 我 感到 很 泪 来 和 失落 ， 我 一 直 想 放弃 。 


























问题 出 在 哪里 ? 我 只 是 做 到 能 够 说 “我 在 学 习 这 门 语言 ”的 程度 ,但 是 对 于 真正 的 学 
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习 来 说 , 我 所 做 的 还 远 远 不 够 。 因 此 我 在 相当 长 的 一 段 时 间 内 忍受 着 初学 者 注定 会 经 
历 的 紧张 和 挫败 感 。 





6.4.1 定义 


一 开始 你 们 公司 可 能 会 把 钓鱼 攻击 培训 看 作 反 欺诈 训练 , 或 者 提醒 你 在 星巴克 时 记得 
锁 上 你 的 电脑 。 如 果 你 经 历 过 这 种 训练 ,那么 你 就 会 明白 我 的 意思 。 教 练 会 告诉 你 为 
什么 有 些 东 西 不 好 ,给 你 展示 一 些 短片 来 告诉 你 怎么 做 才 是 正确 的 ,并 希望 你 能 从 中 
学 到 一 些 东 西 。 如 果 从 这 个 角度 来 看 ， 那 么 这 一 培训 可 能 会 被 看 成 某 种 “一 筋 永 逸 ” 
的 训练 。 

















悲伤 的 事实 是 ， 正 如 之 前 所 提 到 的 ， 每 个 人 每 一 天 都 会 收 到 很 多 钓鱼 邮件 。 只 测试 员 
工 一 次 ,并 只 给 他 们 一 次 培训 来 告诉 他 们 如 何 识别 钓鱼 邮件 ,这 和 把 他 们 派 往 法 国 的 
一 个 月 前 只 给 他 们 上 一 和 党 法 语 课 没什么 两 样 一 一 都 没有 什么 效率 。 














6.4.2 ”消极 之 处 
一劳永逸” 式 的 思维 会 导致 下 列 绪 





O 极其 受挫 的 情绪 。 对 于 感觉 自己 一 直 以 来 都 没有 进步 的 员工 ,以 及 因为 没有 员工 在 
学 习 所 以 感觉 培训 浪费 金钱 的 公司 来 说 ， 当 用 这 种 方式 思考 时 ,失望 是 常态 (看 见 
我 之 前 所 做 的 了 吗 ? )。 

口 缺乏 安全 意识 。 不仅 训练 是 低 效 的 , 而 且 由 于 上 述 的 受挫 情绪 ,很 多 员工 会 在 识别 

钓鱼 邮件 方面 做 得 不 如 那些 持续 接受 测试 和 培训 的 员工 。 

Q IT 部 门 和 其 他 部 门 之 间 缺 乏 联 系 。IT 部 门 和 其 他 部 门 之 间 的 关系 会 变 得 更 对 立 ， 

而 非 成 为 一 个 团结 一 致 并 服务 于 你 的 “团队 ”。 

口 缺乏 标准 。 这 看 起 来 似乎 显而易见 ， 但 事实 是 ， 当 一 次 性 的 培训 项 目 开 展 时 ， 公 司 
缺乏 合适 的 标准 来 判断 这 笔 钱 是 否 用 对 了 地 方 ， 或 者 培训 是 否 有 效 。 













































































一 次 性 的 简单 测试 不 仅 不 能 起 到 帮助 作用 , 似乎 还 会 带 来 相反 的 效果 一 一 它 实 际 上 阻 
碍 了 公司 训练 员工 防御 钓鱼 攻击 的 能 力 。 
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6.4.3 如何 改进 

好 了 ,我 明白 了 …… 并 非 每 家 公司 都 想 要 每 个 月 向 全 体 员工 发 送 一 次 钓鱼 邮件 。 是 的 ， 
我 可 以 一 直 争 论 到 脸色 发 紫 说 这 是 最 好 的 办 法 ,并 被 证 实 有 帮助 , 但 是 仍然 有 很 多 人 
想 要 慢 一 点 开始 。 那 么 ， 什 么 才 是 重要 的 呢 ? 


























重要 的 是 一 致 性 和 承诺 。 培 训 必须 持之以恒 一 一 至 少 每 个 季度 或 者 每 隔 一 个 月 进行 一 
次 ， 而 且 你 必须 严格 执行 。 不 要 假定 式 个 部 门 很 忙 、 很 重要 或 者 对 钓鱼 邮件 很 熟悉 ， 
从 而 把 一 些 员工 排除 在 外 。 把 所 有 员工 都 纳入 训练 中 ,看 看 他 们 在 每 两 个 月 或 每 季度 
进行 一 次 的 钓鱼 攻击 训练 中 表现 如 何 。 












































由 此 你 可 以 确定 是 否 应 该 增加 训练 的 频率 , 并 想 清楚 如 何 与 你 的 同事 一 起 作为 一 个 团 
队 工 作 ， 而 非 处 于 对 立 的 状态 。 


























在 此 强调 一 下 预算 受 限 的 问题 。 这 一 问题 看 上 去 是 由 于 下 面 两 种 原因 之 一 (或 者 两 者 
都 有 ) 导致 的 : 


口 C 级 领导 人 不 理解 或 者 不 支持 这 种 培训 ; 
a 没有 办 法 提供 能 够 证 明 投资 有 所 回报 的 数据 。 

















争取 预算 总 是 很 艰难 的 , 因为 那 就 像 购买 保险 : 你 购买 它 是 为 了 避免 不 好 的 事情 发 生 ， 
而 非 享受 好 的 东西 。 
.5 “如果 发 现 钓鱼 攻击 ， 请 打 这 个 电话 


6 
我 曾经 自愿 参加 了 一 座 大 楼 的 拆除 工作 。 为 了 重建 这 座 大 楼 , 它 的 内 部 结构 需要 拆除 。 
是 : 大 楼 的 墙壁 都 是 用 煤渣 砖 砌 成 的 。 














我 对 于 拆除 工作 一 无 所 知 ， 但 好 在 那 时 我 年 轻 力 壮 。 我 拿 起 我 能 找到 的 最 重 的 锤子 ， 
走 进 房间 ， 开 始 砸 墙 。 煤 酒 砖 的 碎片 飞 得 到 处 都 是 ,我 一 边 挥舞 着 大 锤 ， 一 边 觉 得 自 
己 是 真 男 人 。15 分 钟 后 ， 我 在 墙壁 中 间 磺 出 了 一 个 大 洞 ， 大 得 足够 我 的 头 钼 过去。 

































































我 一 直 砸 墙 ， 直 到 累 得 我 需要 休息 为 止 。 我 穿 过 大 厅 ， 看 到 另 一 个 人 快要 拆 完 一 整 面 
墙 了 。 他 几乎 和 我 同时 开始 工作 的 。 为 什么 他 比 我 快 这 么 多 ? 
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“见鬼 ! ”我 边 想 边 走 回 我 的 那 墙 墙壁 前 。 短 时 间 内 我 又 砸 了 一 个 洞 出 来 。 我 对 此 感 
到 很 满意 ， 不 过 离 推倒 整 面 增 还 差 得 远 ， 而 那个 人 已 经 开始 砸 男 一 面 增 了 。 我 有 些 关 
愧 地 走 过 去 ， 问 他 秘诀 是 什么 。 

















他 给 我 上 了 一 节 5 分钟 的 课 , 给 我 讲 了 钢筋 如 何 贯穿 墙壁 中 最 脆弱 的 部 分 。 接 着 他 告 
诉 我 应 该 敲打 哪里 ， 应 该 用 哪 种 尺寸 的 锤子 。 他 给 了 我 一 把 钢筋 剪 ， 然 后 就 打发 我 
走 了 。 

















不 到 10 分 钟 后 ， 我 就 推倒 了 我 的 第 一 面 墙 一 一 我 很 满意 ! 那天 我 们 两 人 比赛 看 谁 拆 
墙 更 快 。 最 后 我 们 在 6 小 时 内 拆 完了 一 整 层 楼 的 所 有 的 墙壁 一 一 而 且 是 手动 拆除 ! 


























6.5.1 定义 


我 从 上 面 这 个 故事 里 学 到 的 是 : 你 应 该 选择 最 容易 成 功 的 那 条 路 。 当 然 我 用 的 办 法 最 
终 也 能 奏效 ， 但 那 并 不 是 最 容易 的 办 法 。 





























有 时候 在 公司 里 我 们 见 过 这 样 的 人 ,他 们 试图 让 员工 采取 正确 的 行动 ， 原本 是 出 于 好 
意 ,， 却 做 出 了 糟糕 的 决定 。 这 一 点 在 报告 钓鱼 邮件 方面 表现 尤其 突出 。 我 们 看 见 很 多 
公司 设置 了 内 部 电话 中 心 ， 以 便 员工 打 电 话 报告 钓鱼 邮件 。 无 论 你 如 何 抉择 ， 证 报告 
钓鱼 邮件 对 你 的 员工 来 说 容易 一 些 ， 这 样 才能 做 到 收益 最 大 化 。 
































6.5.2 ”消极 之 处 


你 想 要 员工 报告 他 们 “捕获 ”的 所 有 钓鱼 攻击 。 你 想 要 员工 在 收 到 更 多 关于 这 些 邮件 
的 信息 前 不 要 轻举妄动 。 你 也 想 要 鼓励 那些 可 以 培养 安全 意识 的 值得 提倡 的 行为 。 















































然而 ， 如 果 每 次 员工 收 到 钓鱼 攻击 邮件 时 都 得 打 电 话 报告 所 有 的 细节 ， 然 后 在 电话 里 
被 告知 删除 邮件 、 转 发 邮件 、 等 待 更 多 信息 ， 或 者 无 视 邮件 ,那么 员工 最 终 会 停止 报 
告 ， 因 为 这 么 做 会 消耗 他 很 多 工作 时 间 ， 而 这 超出 他 的 承受 范围 。 














这 就 好 像 要 求 你 的 员工 用 最 重 的 锤子 去 砸 墙壁 一 样 ， 因 为 这 会 让 人 “感觉 ”好 像 做 了 
什么 , 但 这 其 实 只 是 在 耗 尽 所 有 人 的 精力 。 
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6.5.8 ”如 何 改进 


无 论 何 种 情况 下 ,我 们 看 到 的 成 功 开展 了 钓鱼 攻击 培训 的 公司 里 ,报告 钓鱼 邮件 是 通 
过 邮件 或 者 网 页 的 形式 来 通知 合适 的 团队 进行 处 理 的 。 有 些 情况 下 , 钓鱼 攻击 的 反馈 
是 自动 化 的 ,我 见 过 有 的 公司 创建 了 钓鱼 攻击 数据 库 ， 为 员工 提供 邮件 对 比 来 确认 他 
们 收 到 的 是 否 为 钓鱼 攻击 邮件 。 












































无 论 采 取 哪 种 方法 ， 如 果 对 员工 来 说 报告 钓鱼 邮件 是 容易 的 ， 那 么 他 们 就 会 更 愿意 
报告 ， 也 更 容易 接受 钓鱼 攻击 培训 。 我 知道 目标 并 非 只 是 停留 在 让 员工 的 生活 变 得 
更 轻松 这 一 点 上 。 然 而 人 们 很 忙碌 ， 并 且 一 一 尽管 社会 工程 安全 是 我 眼中 头等 重要 
的 事情 意识 到 并 非 每 个 人 都 和 我 想 的 一 样 。 你 需要 和 你 的 员工 一 起 努力 ， 让 
培训 成 为 他 们 都 想 参加 的 一 项 活动 。 
























































6.6 坏人 在 周一 休假 


当 我 还 是 个 孩子 的 时 候 ， 我 哥哥 和 我 同 住 一 间 房 ， 我 们 有 一 个 很 酷 的 双 层 床 。 有 一 天 
哥哥 告诉 我 ， 在 满月 的 午夜 ， 会 有 大 老鼠 会 从 墙壁 里 销 出 来 吃 掉 我 。 












































于 是 我 睡觉 前 进行 了 安全 检查 。 今 晚 是 满月 吗 ? 如 果 不 是 ， 那 我 就 很 安全 , 墙 上 的 时 
钟 显 示 的 时 间 没 什么 关系 。 如 果 今 晚 是 满月 ， 那 我 就 要 担心 了 。 几 个 夜晚 过 去 了 ,我 
仍然 很 “安全 ”。 















































但 是 有 一 天 晚上 ， 当 我 们 都 销 进 被 子 里 准备 睡觉 时 , 我 拉 开 窗帘 往外 瞧 了 一 眼 。“ 哦 ， 
不 ，” 我 心 想 ，“ 今 晚 是 满月 ! ” 
































我 看 了 看 时 钟 ， 现 在 才 晚 上 9 点 。“ 我 要 是 睡 着 了 怎么 办 ? 如 果 我 羊 夜 睡 过 去 了 , AB 
么 大 老鼠 会 趁机 吃 了 我 吗 ? " 











我 一 直 醒 着 ， 时 着 时 钟 看 了 几 个 小 时 。 夜 里 11: 55 左右 ,哥哥 在 上 铺 开始 挠 墙 。 我 
吓 得 一 动不动 。 午 夜 时 分 ， 一 只 手 从 上 铺 伸 了 下 来 ， 抓 住 了 我 的 脖子 。 我 发 出 了 一 声 
可 能 很 远 都 能 听 得 到 的 尖 叫 。 











我 确信 我 们 在 此 之 后 没 少 挨打 。 不 管 怎么 说 ， 我 伦 了 一 些 时 间 才 意识 到 : 
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口 没有 大 老鼠 ; 
口 如 果 大 老鼠 存在 ， 那 么 它们 不 会 等 到 满月 的 午夜 才 出 来 吃 掉 我 。 























在 我 五 六 岁 时 ， 这 些 教训 并 没有 什么 意义 ， 而 现在 它们 在 很 多 地 方 都 能 派 上 用 场 。 


6.6.1 定义 





























我 听 说 有 些 公司 表现 出 和 我 童年 时 一 样 的 恕 惧 。 不 是 对 大 老鼠 ， 而 是 对 恶意 的 钓鱼 攻 

















我 曾 被 告知 : “我 们 想 要 开展 钓鱼 攻击 培训 ,但 是 周一 不 合适 ， 因 此 我 们 不 会 在 周一 
进行 。” 或 者 : “ 周 四 是 员工 会 议 ， 因 此 你 可 以 在 任何 时 间 进 行 钓鱼 攻击 ,但 请 避 开 
周 四 。” 这 本 质 上 和 “钓鱼 攻击 没 问 题 ， 但 请 不 要 在 满月 之 夜 进行 ”一 样 。 















































限制 钓鱼 攻击 培训 的 日 期 或 时 间 ， 就 好 比 确信 大 老鼠 只 会 在 满月 之 夜 出 来 吃 了 你 。 我 
们 都 知道 大 老鼠 只 要 俄 了 就 会 出 来 吃 了 你 ， 无 论 何 时 一 一 并 非 只 在 午夜 。 真 的 。 














与 之 相似 ， 坏 人 不 会 只 在 你 不 开 员 工大 会 的 时 候 攻 击 你 。 


6.6.2 ”消极 之 处 

在 一 些 公司 里 , 我 们 会 避 开 特定 的 日 子 进行 测试 。 我 见 过 有 员工 对 我 们 的 调查 给 出 了 
这 样 的 回应 : “ 呢 ， 我 知道 这 不 是 我 们 公司 的 钓鱼 攻击 测试 ， 因 为 我 是 在 周一 收 到 这 
封 邮 件 的 。 我 们 不 会 在 周一 进行 测试 。” 
































你 的 训练 目标 , 记 住 ， 是 教会 你 的 员工 在 任何 时 间 都 能 发 现 所 有 的 钓鱼 攻击 邮件 ， 而 
不 是 教 他 们 和 弄 清 楚 钓 鱼 攻击 邮件 是 来 自 公 司 还 是 来 自 坏 人 。 你 想 让 他 们 无 论 何 时 何 地 
都 能 保证 安全 并 免 受 钓鱼 攻击 威胁 ， 而 不 是 让 他 们 知道 周一 和 周 四 不 会 收 到 来 自 公司 
的 钓鱼 邮件 。 




















4 











6.6.3 ”如 何 改进 


解决 办 法 很 明显 : 不 要 根据 对 公司 来 说 “方便 ”的 时 间 来 安排 钓鱼 攻击 训练 ， 相反 ， 
要 根据 钓鱼 攻击 者 眼中 现实 的 情况 来 安排 。 我 同意 有 些 时 候 发 动 钓鱼 攻击 是 不 合适 
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的 。 例 如 ， 当 每 个 人 都 在 放假 、 过 节 ， 或 者 其 他 大 部 分 人 都 不 在 的 情况 下 。 你 想 要 数 
据 和 指标 来 协助 你 看 清楚 大 体 状况 ， 这 意味 着 你 应 该 在 人 们 都 在 时 发 动 钓鱼 攻击 。 


尽管 如 此 ， Dus wah e 
住 , 一 些 最 具 恶 意 的 并 成 功 奏效 的 钓鱼 邮件 是 在 纽约 “9: 11" SER. HH. Ug 
地 地 震 、 新 奥尔良 飓风 发 生 后 不 久 发 送 的 。 钓 鱼 攻击 者 不 会 关心 你 或 者 其 他 人 遭遇 了 
什么 ， 他 们 只 会 为 达 目 的 不 择 手 段 。 









































我 们 并 非 坏 人 ， 所 以 我 们 会 考虑 你 的 员工 的 感受 , 但 是 由 于 会 议 而 长 期 避 开 一 周 的 某 
一 天 或 两 天 ， 这 对 钓鱼 攻击 训练 中 的 所 有 人 没有 任何 帮助 


6.7 眼 不 见 心 不 烦 


tt 这 与 鬼怪 有 关 。 我 们 小 时 候 都 害怕 某 些 东西 一 一 壁 
橱 里 的 响声 、 床 底 的 撞击 声 、 树 枝 打 在 窗户 上 的 声音 ， 或 者 看 起 来 像 是 鬼怪 的 影子 。 
Tove REL. 都 会 导致 不 合理 的 想法 和 行为 。( 真实 的 故事 : 米 软 尔 曾 经 在 走 
廊 里 背 着 顶头 跑 ， 她 以 为 这 样 可 以 在 黑暗 中 保护 自己 。) 


















































看 吧 ， 当 我 听 到 奇怪 的 声音 ， 或 者 我 觉得 看 到 有 东西 在 壁橱 里 移动 时 ， 我 就 会 害怕 地 
EE OEN: 





















































ATA? 好 吧 ， 这 其 实 是 很 符合 逻辑 的 ， 不 是 吗 ” 如 果 我 看 不 到 怪兽 /鬼怪 /坏人 , 那 
么 显然 我 就 是 安全 的 。 我 把 安全 与 能 否 看 到 那些 让 我 害怕 的 东西 挂钩 了 。 








既然 现在 我 已 经 长 大 成 人 ,并 意识 到 大 多 数 这 类 恐惧 都 是 不 合理 的 , 我 也 意识 到 如 果 
真 的 有 怪兽 追 我 ， 那 么 囊 在 毯子 里 闭 上 眼睛 也 只 是 看 不 见 它 而 已 ， 并 不 能 让 我 脱险 。 























6.7.1 定义 

如 果 亚 意 邮 件 发 到 你 的 员工 的 邮箱 里 , 那么 应 该 如 何 处 理 ?” 现 在 你 明白 我 为 什么 提倡 
设立 一 个 报告 系统 了 吧 。 但 是 在 公司 尚未 设立 报告 系统 的 情况 下 ,我 见 过 有 些 公司 建 
议 他 们 的 员工 直接 删除 钓鱼 攻击 邮件 。 















































如 果 你 懂 一 些 安 全 常识 , 那么 你 可 能 会 惊讶 于 有 人 竞 然 把 “删除 邮件 ”作为 安全 建议 ， 
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但 确实 有 这 种 情况 发 生 。 


6.7.2 ”消极 之 处 


如 果 员 工 点 击 了 链接 ,然后 系统 出 现 了 崩 演 ,他 们 现在 很 害怕 ,但 是 安全 建议 只 是 删 
除 邮件 ， 那 会 怎样 呢 ? 





如 果 情 况 更 糟糕 一 些 ， 员工 点 击 了 链接 ,输入 了 某 种 验证 信息 , 但 接 下 来 什么 也 没 发 
生 ， 然 后 员工 就 删 掉 了 邮件 ， 那 会 怎样 呢 ? 几 天 后 员工 将 这 件 事 告诉 其 他 人 ， 然 后 安 
全 团队 介入 调查 ， 却 发 现 那 封 邮 件 已 经 被 删除 了 。 














如 果 员 工 点 击 了 附件 中 的 PDF 文档 , 打开 它 时 却 发 生 了 阅读 器 骨 溃 , 那 会 怎样 呢 ? 他 
可 能 会 有 些 担 心 他 点 击 的 东西 ， 于 是 他 删 掉 了 邮件 ， 这 导致 他 现在 无 法 告诉 你 是 哪个 
文件 崩溃 了 ， 甚 至 它 从 何 处 而 来 也 说 不 清 。 























上 述 情况 都 是 我 亲眼 目睹 过 的 真实 事件 , 它们 发 生 在 那些 建议 “删除 邮件 ”的 公司 里 。 




















这 些 情 况 下 删除 邮件 与 把 你 的 头 埋 在 毯子 里 并 无 区 别 。 你 认为 自己 是 安全 的 ， 只 是 因 
为 你 看 不 见 那些 危险 罢了 。 


6.7.8 如何 改 进 


不 付出 时 间 和 精力 是 不 会 有 所 改进 的 。 你 需要 为 员工 提供 一 个 可 以 报告 可 疑 邮件 的 地 
方 。 他 们 可 以 转发 邮件 到 此 处 ， 并 让 邮件 得 到 审阅 。 如 果 没 有 这 一 措施 ， 那 还 有 什么 
可 做 的 呢 ? 他 们 可 能 搁置 、 删 除 甚 至 点 击 可 疑 邮件 。 








唯一 的 改进 办 法 是 给 员工 创造 一 个 可 以 报告 的 途径 。 在 你 清楚 地 给 出 那个 途径 后 ， 确 
保 它 可 以 做 到 以 下 几 点 : 








口 保证 公司 安全 ; 
口 保证 员工 安全 ; 
口 保护 你 辛苦 建立 的 数据 和 资产 。 














如 果 你 的 报告 系统 可 以 做 到 这 几 点 , 那么 相 比 于 简单 地 删除 邮件 并 盼望 平安 无 事 ， 就 
已 经 是 一 种 改进 了 。 
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6.8 给 所 有 人 的 经 验 


我 可 以 向 你 保证 ， 上 述 这 些 安全 政策 中 的 任意 一 个 如 果 放 在 合适 的 情景 中 , 那么 看 上 
去 都 会 很 不 错 。 你 兽 经 见 过 那 种 非常 差 的 广告 吗 , 就 是 你 会 说 “真有 人 为 这 个 花 钱 啊 ” 
的 广告 ? 你 可 以 想象 他 们 的 市 场 人 员 坐 在 会 议 室 的 桌子 前 彼此 击 掌 欢 呼 ， 认 为 这 个 绝 
妙 的 主意 从 此 会 颠覆 市 场 ， 他 们 的 产品 会 大 卖 。 








ju 
































我 在 写 这 一 章 时 想象 过 类 似 的 情景 一 一 当 驱 使 人 们 采取 行动 的 是 压力 、 紧 张 和 工 作 时 
间 过 长 ， 而 非 一 种 颠覆 世界 的 澳 望 时 。 此 外 ,在 处 理 钓鱼 攻击 邮件 方面 缺乏 经 验 和 正 
确 的 指导 ， 也 会 让 人 感觉 上 述 这 些 政策 似乎 是 可 行 的 。 























再 次 问 问 自己 下 面 这 些 问 题 , 看 看 你 想 要 使 用 的 政策 是 积极 的 、 消 极 的 , 还 是 丑陋 的 。 


口 这 一 政策 、 主 意 或 者 想法 的 定义 是 什么 ? 
口 为 什么 它 是 消极 的 或 者 丑陋 的 ? 
口 如 何 改 进 这 一 政策 ? 











a 找 出 最 佳 途径 。 你 想 要 员工 做 什么 ? 不 点 击 邮件 并 报告 ? 保存 邮件 并 报告 ? 转发 邮 
件 ? 还 是 打 电 话 报 告 ? 

口 如 果 员 工 点 击 或 者 打开 附件 ， 那 么 这 些 新 政策 真 的 能 保证 公司 的 安全 吗 ? 

O 如 果 员 工 点 击 或 者 打开 附件 ， 那 么 这 些 新 政策 真 的 能 保证 员工 的 安全 吗 ? 












































根据 本 章 中 所 描述 的 任 一 政策 来 回答 上 述 问题 , 可 以 帮助 你 快速 识别 它们 是 否 属 于 消 
极 且 丑陋 的 那 一 类 政策 。 








6.9 总 结 


政策 并 非 一 个 有 趣 的 话题 ， 没 有 人 想 要 把 时 间 花 在 制定 一 些 所 有 人 都 要 遵守 的 规则 
上 。 但 是 政策 对 于 保证 公司 安全 、 保 证 员工 安全 以 及 制定 清晰 的 行为 守则 来 说 ， 则 非 
常 必要 。 

















让 我 重申 一 下 : 我 知道 实施 我 所 提出 的 安全 政策 需要 付出 很 多 时 间 、 精 力 和 金钱 ， 也 
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需要 做 很 多 工作 。 我 也 知道 这 可 能 是 一 个 漫长 的 过 程 ， 一 路 上 会 有 一 些 障 碍 。 但 是 不 
要 因此 放弃 。 一 直 坚 持 下 去 ， 你 看 到 的 结果 会 告诉 你 ， 你 所 付出 的 时 间 、 精 力 和 人 金钱 
是 值得 的 。 








有 一 家 我 曾经 合作 过 的 公司 , 他 们 的 平均 钓鱼 邮件 点 击 率 从 80% 下 降 到 了 9%,， 而 他 们 
的 平均 报告 率 从 不 到 10% 上 升 到 了 64%。 这 家 公司 的 恶意 软件 事件 数量 持续 减少 了 
70%。 这 都 是 由 于 新 政策 的 实施 。 














这 些 转变 是 一 夜 之 间 发 生 的 吗 ?不 。 这 些 结果 是 花 了 几 年 的 时 间 才 得 到 的 ， 但 这 难道 
不 值得 吗 ” 只 有 通过 持续 的 钓鱼 攻击 测试 、 定 期 的 培训 和 努力 的 工作 ， 我 们 才能 得 到 
这 些 数字 。 


























当 培 训 项 目 开始 时 ,我 们 看 到 很 多 公司 太 过 在 意 这 些 数 字 。 记 住 , 培训 的 主要 目的 是 
对 钓鱼 攻击 的 威胁 有 所 了 解 ， 以 及 展示 培训 对 员工 所 起 的 作用 。 有 时候 统 计数 据 会 诱 
使 你 过 于 关注 数字 而 不 是 人 或 者 目标 。 








不 地 的 是 ,我 们 见 过 很 多 公司 过 分 关注 统计 数据 ， 以 至 于 他 们 忘 了 员工 的 需求 ， 只 想 
炫 煽 数据 。 请 严格 执行 培训 项 目 ， 并 时 刻 牢记 你 的 目标 是 增加 报告 人 数 和 减少 点 击 人 
数 。 这 人 么 做 可 能 会 花 不 少时 间 ,， 但 “捏造 ”数据 并 不 会 让 你 的 员工 学 得 更 快 。 
































最 后 一 个 问题 是 : 你 该 选择 哪 种 类 型 的 SaaS (Software as a Service， 软 件 即 服务 ) 或 
者 软件 ? 第 7 章 将 会 探讨 这 一 主题 。 
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“技术 只 是 工具 。 
一 一 比尔 ， BR 


我 记得 祖父 第 一 次 带 我 去 深海 捕捞 时 的 情景 ， 那 时 我 大 概 五 六 岁 。 我 们 登 上 了 一 稻 驶 
疝 大 海 的 大 船 。 随 着 船 远离 码头 ， 我 能 看 到 的 陆地 越 来 越 少 。 我 害怕 吗 ? 并 不 。 为 什 
AWE? 因为 祖父 在 我 的 腰 间 系 了 一 条 粗 绳 子 , 另 一 头 系 在 船 的 栏杆 上 。 我 还 记得 他 说 : 
“至 少 如 果 你 掉 下 去 了 ， 我 们 还 能 钓 一 条 大 次 鱼 上 来 呢 !” 

















我 们 进入 了 规定 的 区 域 ,船员 纷纷 拿 起 巨大 的 钓 笔 。 钓 御 上 的 线 轮 比 我 还 大 , 钓 线 的 
另 一 端 有 巨大 的 钩子 。 船 员 拿 起 一 根 钓竿 , 把 一 只 大 虾 绑 在 钩子 上 , 把 钓 线 浸入 水 里 ， 
接着 把 钓竿 递 给 我 。 我 的 小 手 几乎 握 不 住 钓 秆 ， 更 不 用 说 钓 上 来 任何 东西 了 。 船 员 看 
见 我 在 挣扎 ， 于 是 递 给 我 一 个 小 的 东 尼 虎 牌 钓竿 。 我 感觉 自己 像 大 人 一 样 了 ， 但 是 我 
并 没有 钩 到 任何 东西 。 























为 什么 呢 ? 因为 小 钓竿 并 不 是 合适 的 海 钓 工具 。 刚 开始 那 根 钓竿 是 没 问 题 的 ,但 是 我 
没有 力气 或 者 技能 来 使 用 它 。 本 章 的 讨论 将 围绕 着 这 一 教训 展开 。 











截至 目前 ， 本 书 已 经 讨论 了 钓鱼 攻击 背后 的 心理 学 原则 、 如 何 开展 优秀 的 钓鱼 攻击 培 
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训 ， 以 及 决策 背后 的 逻辑 一 一 如 何在 取得 进展 的 同时 又 能 避免 掉 入 常见 的 陷阱 。 接 下 
来 的 最 后 一 个 问题 就 是 工具 了 。 


尽管 如 此 ,问题 不 仅 是 工具 那么 简单 。 如 果 只 是 把 工具 列表 扔 在 你 面前 ,然后 丢 下 一 
句 “ 玩 得 愉快 "， 那 是 很 容易 的 。 但 是 我 想 从 专业 钓鱼 攻击 者 的 角度 为 你 做 一 个 概览 。 




















我 决定 为 你 提供 每 样 我 用 过 的 工具 的 概览 。 本 章 将 会 解释 这 些 工具 是 什么 、 免 费 还 是 
收费 、 工 具 的 优 缺 点 ， 以 及 我 对 这 些 工 具 的 评价 。 本 章 最 后 会 对 这 些 工 具 进 行 比较 。 





但 是 上 且慢 …… 还 有 别 的 。 本 章 还 包含 对 SaaS (Software as a Service， 软 件 即 服务 )、 
MS ( Managed Services， 托 管 服务 ) 和 DIY 的 对 比 ， 以 帮助 你 确定 自己 最 适合 哪 种 
情况 。 








我 的 目标 并 非 让 你 偏好 某 种 方法 ， 而 是 提供 一 份 对 我 使 用 过 的 工具 的 诚实 的 评估 。 在 
过 去 大 概 五 年 的 时 间 里 ,作为 专业 的 钓鱼 攻击 者 , 我 使 用 这 些 工 具 向 数 以 百 万 计 的 人 
发 动 了 钓鱼 攻击 。 为 了 尽 可 能 不 带 个 人 偏见 , 我 采访 了 排名 前 五 的 商业 软件 的 制作 者 ， 
还 有 开源 软件 SET ( Social-Engineer Toolkit， 社 会 工程 人 员工 具 包 ) 和 PhishFrenzy 的 
制作 者 。 我 问 了 他 们 下 面 这 些 问题 ， 并 表示 他 们 可 以 给 我 发 送 这 些 产品 的 屏幕 截图 。 

















口 你 如 何 描述 你 的 工具 ? 
Q 你 的 工具 最 大 的 优点 是 什么 ? 
Q 你 的 工具 最 大 的 缺点 是 什么 ? 








采访 对 象 可 以 选择 回答 其 中 一 个 、 一 部 分 或 者 全 部 问题 ， 也 可 以 不 回答 任何 问题 。 他 
们 的 回答 构成 了 本 章 的 部 分 内 容 。( 我 编辑 了 回答 中 营销 宣传 的 部 分 。) 在 每 一 节 的 最 











后 我 加 上 了 个 人 评价 ， 当 然 其 中 难免 存在 个 人 偏好 , 但 是 评价 的 重点 在 于 回答 下 面 这 
些 问 题 。 


a 使 用 这 款 工具 需要 怎样 的 知识 水 平 ? 

口 用 户 信息 的 安全 性 如 何 ? 

口 使 用 这 款 工具 时 有 其 他 的 困难 吗 ? | 例如 需要 花 多 长 时 间 载 人 收 件 人 名 单 、GUI 
( Graphical User Interface， 图 形 用 户 界 面 ) 是 否 容易 使 用 、 能 否 同 时 进行 多 项 任务 、 
是 否 容易 反馈 。] 
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a 技术 支持 如 何 ? 


让 我 们 开始 吧 。 


7.1 商业 应 用 


本 节 要 谈 的 是 商业 应 用 ， 属 于 付费 的 类 型 。 下 面 要 介绍 的 产品 我 认为 是 钓鱼 攻击 软件 
中 的 领军 者 。 随 后 我 会 提供 一 些 可 用 的 开源 软件 。 























7.1.1 Rapid? Metasploit Pro 


熟练 的 渗透 测试 人 员 是 很 难 找到 的 ， 因 此 有 效 利 用 他 们 的 时 间 是 很 重要 的 。Rapid7 
Metasploit Pro ( www.rapid7.com/products/metasploit/editions-and-features.jsp ) 可 以 通过 
闭环 漏洞 验证 来 显示 风险 程度 并 进行 风险 优先 级 划分 , 还 能 通过 模拟 钓鱼 邮件 攻击 来 
对 安全 意识 进行 衡量 。 内 置 Rapid7 NeXpose ( www.rapid7.com/products/nexpose/ ) 可 
以 用 来 验证 环境 中 的 漏洞 ,显示 系统 风险 ,并 进行 行动 优先 级 划分 。 端 到 端 ( end-to-end ) 
的 钓鱼 攻击 项 目 允 许 你 安全 地 对 用 户 的 行为 进行 测试 , 并 提供 对 未 成 功 通过 测试 的 用 
户 的 分 析 。 此 外 , 你 可 以 在 Rapid7 Userlnsight ( www.rapid7.com/products/user-insight/ ) 
中 查看 钓鱼 攻击 测试 结果 以 获取 更 全 面 的 用 户 风 险 信息 。 
























































优点 


























口 利用 Rapid7, 你 可 以 衡量 用 户 安全 意识 , 还 可 以 选择 通过 渗透 测试 来 评估 安全 措施 
的 有 效 性 一 一 例如 漏洞 发 气 和 Java AERE o 

口 Rapid7 是 一 个 功能 全 面 的 攻击 安全 工具 , 它 不 仅 能 用 于 钓鱼 攻击 , 也 涵盖 了 漏洞 发 
掘 、 证 书 检查 和 Web App 测试 。 

口 Rapid7 是 一 款 本 地 部 署 应 用 ， 可 以 确保 个 人 网 络 调查 结果 的 隐私 。 

口 Rapid7 包含 UserInsight， 为 你 提供 包含 钓鱼 攻击 在 内 的 用 户 全 局 风险 概览 。 

口 只 需要 一 次 授权 ，Rapid7 即 可 向 不 限 数量 的 用 户 提供 不 限 次 数 的 钓鱼 攻击 项 目 。 

































































缺点 
口 本 地 部 署 应 用 需要 托管 和 维护 。 


a 钓鱼 攻击 模板 非常 初级 。 
a 内 置 的 钓鱼 攻击 训练 模式 很 初级 〈 不 过 可 以 使 用 多 














屏幕 截图 
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f= TWAT R )。 
口 有 些 用 户 可 能 会 反感 漏洞 发 气功 能 ， 可 以 选择 关闭 该 功能 。 





图 7-1 和 图 7-2 显示 了 Rapid7 Metasploit Pro 的 屏幕 截图 。 





Key Metrics: Social Engineering Funħñel 





4 —- 3 — 2 
emails were sent out 7596 of recipients 67% of opens 
opened the email clicked the link 
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67% of opens 
submitted the form 








图 7-1 Rapid7 Metasploit Pro iit 9i [ 




















SOCIAL CAMPAIGNS 

CAMPAIGN NAME E-MAIL SENT PHISHING EXTENT 
Eme a EN + 

Netsuite Password e e e. 
Bm a ` + 

Linkedin LogMeIn e v e e 
Em a x. + 

Google Docs v D e e 
m a x. 

Pivotal Tracker @ e. e 
m a A 

Helpdesk Password Expired . e @ 





图 7-2. Rapid7 Metasploit Pro 钓鱼 攻击 追踪 页 再 




















个 人 评价 





下 面 是 我 对 Metasploit Pro 的 评价 。 
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口 使 用 这 款 工具 需要 怎样 的 知识 水 平 ? 
Metasploit Pro 的 设置 并 不 复杂 。 我 觉得 赁 直觉 即 可 胜任 , 不 需要 任何 特别 的 软件 知 
识 。 对 所 有 的 软件 来 说 ,学习 曲线 主要 在 GUI 上 ， 有 一 些 我 不 太 习惯 的 元 素 , 但 最 
后 我 发 现 其 实 挺 好 用 的 。 
Metasploit Pro 并 非 是 为 新 手 准 备 的 一 款 工 具 , 但 也 无 需 变 成 专家 才能 使 用 它 。 使 用 
过 程 中 ,我 在 一 些 人 简单 的 事项 上 过 到 过 一 些 困难 , 比如 查看 结果 或 者 设置 伪造 邮件 ， 
但 是 清晰 的 说 明文 档 和 一 些 简单 的 教程 帮 我 很 好 地 解决 了 大 部 分 问题 。 
口 用 户 信息 的 安全 性 如 何 ? 
为 Metasploit Pro 是 自我 托管 的 ， 所 以 安全 性 很 大 程度 上 取决 于 你 的 设置 。 如 果 
你 把 它 安装 在 一 个 面向 公众 的 服务 器 上 ,又 没有 安全 措施 的 保障 , 那么 它 很 容易 被 
攻陷 。 我 们 没有 对 软件 本 身 进 行 安全 审计 以 确定 其 内 部 安全 等 级 , 但 是 系统 是 由 密 
码 保护 的 ， 似 乎 也 使 用 了 较 好 的 安全 等 级 来 保护 用 户 数据 。 因 此 ， 结 论 是: 因为 
Metasploit Pro 是 本 地 部 署 的 工具 ， 所 以 安全 性 取决 于 你 。 
口 使 用 该 工具 时 有 其 他 的 困难 吗 ? 
用 户 界面 大 部 分 似乎 都 可 以 赁 直觉 顺利 使 用 , 但 是 我 对 于 如 何 设置 邮件 服务 器 和 发 
送 时 间 有 点 迷惑 。 我 使 用 的 版 本 不 支持 同时 进行 多 项 任务 。 报 告 是 可 以 使 用 的 ,我 
岂可 以 导出 数据 ， 这 可 以 帮助 我 为 客户 创建 报告 。 
口 技术 支持 如 何 ? 
客服 很 快 回答 了 我 的 问题 ， 帮 我 解除 了 疑惑 。 

















































































































7.1.2 ThreatSim 


ThreatSim ( http://threatsim.com/ ) 允许 组 织 机 构 根 据 终端 用 户 的 行为 评估 和 降低 风险 。 
ThreatSim 是 一 个 安全 意识 培训 平台 ， 可 以 帮助 培训 员工 来 识别 潜在 威胁 并 制定 安全 
决策 。ThreatSim 早期 的 产品 允许 组 织 机 构 发 送 模拟 钓鱼 攻击 邮件 给 终端 用 户 ， 并 为 
那些 落 入 陷阱 的 员工 提供 即时 训练 。 新 推出 的 产品 包含 附加 的 场景 式 训练 ， 主 要 关注 
员工 在 面临 安全 决策 时 的 一 般 情形 。ThreatScore 用 户 风 险 管 理 产 品 会 根据 用 户 历史 行 
为 、 安 全 知识 、 技 术 水 平 以 及 工作 特征 对 员工 进行 评分 ， 为 安全 管理 员 提 供 数 据 以 降 
低 他 们 的 终端 用 户 所 面临 的 风险 。ThreatSim 是 以 SaaS 的 形式 提供 的 ， 并 根据 终端 用 
户 数 以 订阅 形式 出 售 。 
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优点 








口 丰富 的 自 定义 选项 。ThreatSim 为 用 户 提供 钓鱼 攻击 信息 和 培训 信息 的 个 性 化 设置 。 
钓鱼 攻击 信息 可 自 定 义 的 范围 包括 寄 件 人 姓名 、 地 址 、 着 陆 页 域名 ， 以 及 一 个 完整 
的 邮件 内 容 编辑 器 ， 其 功能 包括 剪 切 和 复制 真实 的 钓鱼 攻击 邮件 。ThreatSim 的 数 
据 抓 取 功 能 非常 强大 ， 你 可 以 使 用 网 站 抓 取 功能 来 创建 一 个 逼真 的 模拟 着 陆 页 面 。 
每 一 个 训练 都 是 100% 自 定义 的 ， 包 括 内 容 、 图 形 和 布局 ， 这 使 得 用 户 可 以 创建 满 
足 他 们 特定 需求 的 信息 。 

口 漏洞 检测 功能 。ThreatSim 能 检测 目标 浏览 器 以 识别 旧版 本 软件 ( 例如 Java, Adobe 
和 Flash )， 这 些 旧 版 本 软件 会 增加 目标 遭受 由 钓鱼 攻击 带 来 的 恶意 软件 的 感染 机 
会 。 

口 高 级 钓鱼 攻击 模拟 功能 。ThreatSim 提供 了 一 些 为 模拟 高 级 钓鱼 攻击 而 准备 的 功能 ， 
包括 但 不 限于 : 为 了 更 真实 地 模拟 钓鱼 攻击 , 在 一 段 时 间 内 不 定时 发 送 钓鱼 攻击 邮 
件 ; 基于 目标 “累犯 ”频率 创建 动态 列表 ; 基于 个 人 历史 表现 和 技术 水 平 为 每 一 个 
目标 给 出 风险 评级 。 

OQ 容易 使 用 。ThreatSim 的 界面 ( 见 图 7-3 ) 可 以 帮助 你 十 分 高 效 地 进行 钓鱼 攻击 和 查 
看 结果 。 邮 件 列表 管理 提供 了 一 个 简单 的 两 步 更 新 过 程 ， 可 以 移 除 离 职员 工 以 及 添 
加 新 员工 。ThreatSim 允许 导出 全 部 数据 ， 以 供 客户 进一步 分 析 。 

口 多 语言 支持 。 全 球 性 机 构 逐 渐 成 为 钓鱼 攻击 的 目标 , 它们 需要 让 内 容 本 地 化 以 进行 
更 有 效 的 钓鱼 攻击 训练 。 因 此 ，ThreatSim 提供 了 多 语言 支持 ， 其 内 容 被 翻译 为 14 
种 语言 ， 而 且 会 根据 用 户 需求 添加 新 的 语言 。 




















































































































缺 点 


ThreatSim 只 有 一 个 主要 的 缺点 : 信息 过 载 。ThreatSim 提供 的 信息 对 有 些 用 户 来 说 大 
£r. 


屏幕 截图 





图 7-3 到 图 7-7 展示 了 ThreatSim 的 屏幕 截图 。 
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Q o muti" Campaigns ~ Training ~ Targets ~ Admin - Help jeff@threatsim.com Logout 





Recent | LastWeek Last Month Last Year Custom Date Range: | From To Filter 





Recent Campaigns 





25 


Percentage of Targets 
$ 


hs. Bu h ue m k.. 


O WR Demo Test (06/25/14) HR Dept (06/25/14) Test - Finance Group Test - Finance Group HR Targets (07/02/14) Test - HR Group (07/02/14) 
(06/26/14) (06/30/14) 





(E No Response IIl Email Opened fill Clicked BI Vulnerable Ill Compromised (ll Trained MM Multi-Clicks 图 Reported | 





Campaign statistics may be delayed up to 5 minutes 










































Complete Campaign History |" Peono Running  Compiotod rm 
Titio Sont Opened Clicked Vulnerable Compromised Mui ed Reported Created Start End Status Creator 
alg Te-HRGop EY ED o o o o @ 07/0254 07/0214 Neve Running — Jeff 
一 From: "Security 2:58:50 2:58:50 LoSapio 
SJZ PM PM 
ala Oo o Qo o o o [:] 07/02/14 07/02/44 Never Running Andrew 
一 一 8:48:59 8:48:58 Minnicks 
Eca AM AM 
alla Oo € o o o o eo 06/30/14 06/30/14 Never Running Jeff 
—— 1:12:50 1:12:50 LoSapio 
EJZ PM 
a o o o o o o €) oszen Running Jeff 
一 10:22:37 LoSapio 
un. AM 
Q e o o o o @ 0625/4 06/2544 Neve Running Patrick 
一 12:00:26 12:00:26 Jones 
ej PM PM 
a o o o e o o @ 0525/4 06/25/14 Neve Running Andrew 
一 9:18:07 9:18:07 Minnicke 
四 | AM AM 
7-3 ThreatSim 面板 
< 人 >noasm- Campaigns ~ Training ~ Targets ~ Admin Help jeff@threatsim.com Logout 
What Type Of Campaign Do You Want To Run? 
Please choose from the following campaign types: 
4 Drive-by phishing campaign M» Data entry phishing campaign File attachment phishing campaign 
ao S 
This campaign tries to get the target user to click on a link toa This campaign tries to get the target user to enter in their This campaign simulates a phishing attack by sending the 
simulated malicious website. When the user clicks the link credentials or other information into a fake web site, Note: target user a non-malicious file attachment that they are 
they are forwarded directly to SpearTraining, or silently Passwords are not collected. Users are then sent to ‘encouraged to open. Upon opening the file, the user is 
fingerprinted and sent to an error page. SpearTraining, or silently fingerprinted and sent to an error forwarded to SpearTraining, or silently fingerprinted and sent to 
page. an error page. 


Create Drive-by Campaign Create Data Entry Campaign Create Attachment Campaign 
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图 7-4 ThreatSim 

















Campaign Overview Endpoints Target Users Geographic Distribution 





HR Demo Test |Z curoni acions | 
FROM: sussecr: sws START AT: mom 
"TT Support” “Your Outlock Password has expired" Rurning 06725714 9-1807 AM Never 
<Aqute.itsuppet@intemalitsuppert.com> 
CAMPAIGN TYPE: Tramana: ser To: 1ANONG omane creato ov 
Data Enty You've Been Phished (Video) 1 List—s) And 0 Individuals) maiLcorpautook com 





Target Search by ema or ane Women A E opened Moespose Vunombio Reported Comprunited Trained NotTained 
Users = Tan IE 
Name / Cick Date Emal Opened Vunerble Plugins Compromised Reported Traed OS Browser Ph P 

» Nato Miler c e © x e € vc. «nx 
pos macerTost cou 

Tverhawhem c o o o x e 939]g92O0s 
Donee macmost crmoue 

Aiou Syla o c e n e oansasgos 
sensi tason A moana  rrerox 

Pov | 1 | Next 








图 7-5 





ThreatSim 任务 结果 


商业 应 





JD meats 


‘Campaigns - Training - 


Create New Drive By Campaign 


Campaign Details: 


Targets - 


Admin - Help 





Cam Email 
"empate 
Campaign Titie 


Campaign 
Duration 


Name 
Email Address. 
Landing Domain 


Email Subject 


[Engish 





El Shipping Tempiate t 





Engineering Group - Test 3 


9 Start campaign immedately 
Date: 


December |=] | 03 |= | [2014] 
Time: [10]: [40 |:| | AM ie 


* Never end campaign 








QuanteniumView. 


[QuanteniumVewN| @ | shipment-confirm.com |z 


| shipment-confirm.com [=| 














Your package has shipped 


jeff@threatsim.com Logout 


Saved Discard 





Email Message | [B Source || st SHB as 


BIS RES n= 


Styles -|| Normal -|| Font 
"umen 
一 Phishing Link Time Date Company Department First Name Last Name 


> 
9 















P This message was sent to you at the 
request of this shipper to notify you that 
the electronic shipment information below 
| has been transmitted to us. The physical 
| package(s) may or may not have actually 
been tendered to us for shipment. To 
verify the actual transit status of your 
shipment, click on the tracking link below 
or contact Time/system USA, Inc directly. 


Important Delivery Information 





body div table tbody tr td table tbody tr td p 4 
User Traning _ What Just Happened? -Ea 
'ype 





Targets 








[x Demo 23] 








© 2014 ThreatSim License: Never expires | Targets Left: Unlimited targets remaining (025 targets used) 








Kl 7-6 ThreatSim 钓鱼 邮件 设置 
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L Dinats" Campaigns - Training - Targets - Admin- Help jeff@threatsim.com Logout 
Use a standard template Training Template Name 
How It Works z 
— name 
B Source X fe (BB a e| Styles - | Hea.. - Font A 0 
BT 无 | 于 nenm OR e 2 


TOU VEBEEN 
PHISHED 


Don't close your browser and don't 
worry, this is an authorized simulation 
by %COMPANY% and we're going to 
show you what phishing is, and how to 
stay "off the hook". 


At the bottom of this web page there is 
an "Acknowlege" button you need to 
click to show us that you have 
completed the training. 





Hert'showphishingworks: 


various levels within the organization. Anyone 
from top executives and their staff, systems 
administrators, customer service 
representatives, HR, and accounting can be a 
target. Even you. 


] First, the attacker picks users to target at 





attempts to get you to take an action such as 
clicking on a fink, opening an attachment, or 


2 Then the attacker sends you an email that 
logging into a fake web site. 





or open a malicious attachment, your computer 
is infected with malicious software called 
malware. 


The malware gives the attacker access into 
your computer where the attacker can read your 
email, access files on your hard drive and the 
network, and attack other users or systems on 


the network — all from your computer!. 


Once the attacker has gathered all of the data 
he or she needs, they zip it up, and upload it = 


3 When you click on the attacker's malicious link 


body header hi span 
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图 7-7 ThreatSim 教育 页 面 
个 人 评价 
下 面 是 我 对 ThreatSim 的 评价 。 
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口 使 用 这 款 工 具 需 要 怎样 的 知识 水 平 ? 
ThreatSim 很 容易 使 用 。 它 肯定 是 为 新 手 用户 设 计 的 ， 但 是 它 也 有 健壮 性 。 我 发 现 
利用 它 来 设置 钓鱼 攻击 邮件 是 很 轻松 的 。 导入 用 户 列表 以 及 设 定 发 送 时 间 也 都 可 以 
凭 直觉 操作 。 报告 功能 不 像 我 想象 中 那么 有 健壮 性 , 但 最 后 还 是 成 功 地 把 数据 导出 
了 。ThreatSim 团队 一 直 在 改进 和 提升 他 们 的 产品 ， 总 体 来 说 它 是 很 容易 使 用 的 一 
另外 ， 有 一 些 新 功能 使 ThreatSim 使 用 起 来 更 轻松 。 我 最 喜欢 的 是 动态 列表 生成 。 
这 意味 着 我 可 以 设置 标准 ， 然 后 创建 一 个 符合 标准 的 用 户 的 列表 。 例 如 , 我 可 以 把 

标准 设置 为 “使 用 的 语言 ”， 然 后 从 用 户 中 找 出 全 部 西班牙 语 使 用 者 并 创建 一 个 相 

应 的 列表 ， 接 着 发 送 给 这 些 人 西班牙 语 的 钓鱼 攻击 邮件 。 

我 喜欢 的 其 他 一 些 功 能 还 有 个 性 化 的 培训 视频 , 以 及 一 些 针对 中 招 用 户 进行 强化 训 
练 的 工具 。 

a 用 户 信 息 的 安全 性 如 何 ? 
ThreatSim 是 本 地 部 署 的 服务 ， 使 用 自己 的 服务 器 保存 数据 。ThreatSim 也 使 用 亚 马 
运 云 服务 器 实现 负载 均衡 。 这 要 依据 你 的 需求 而 定 。 我 曾 测 试 使 用 ThreatSim 发 送 
上 千 封 钓鱼 邮件 ， 效 果 良 好 。 我 们 没有 对 ThreatSim 进行 安全 审计 ， 因 此 我 不 能 对 
软件 的 安全 等 级 下 任何 结论 。 软件 本 身 在 安装 时 有 多 重 验 证 以 确保 访问 系统 的 人 是 
得 到 授权 的 。 

口 使 用 该 工具 时 有 其 他 的 困难 吗 ? 

没有 值得 一 提 的 困难 。 

口 技术 支持 如 何 ? 
ThreatSim 的 团队 对 问题 的 回应 速度 非常 快 。 我 们 曾经 在 一 次 大 型 培训 项 目 中 直到 
了 一 个 问题 ， 技 术 支 持 团 队 和 我 们 一 起 工作 了 好 几 个 小 时 ， 帮 助 我 们 解决 了 问题 。 



















































































































































































7.1.3 PhishMe 





PhishMe (http://phishme.com ) 是 一 种 SaaS 解决 方案 ， 利 用 浸入 式 教学 法 来 对 员工 进 
行 识别 和 规避 钓鱼 攻击 的 培训 。 通 过 使 用 PhishMe， 组 织 机 构 的 所 有 员工 都 被 置 于 真 
实 的 钓鱼 攻击 体验 中 。 此 外 , 员工 可 使 用 PhishMe Reporter( http://phishme.com/product- 
services/reporter ) 来 报告 可 疑 的 钓鱼 攻击 ， 从 而 为 安全 机 构 和 应 急 反 应 小 组 提供 实时 
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威胁 情报 。 高 级 报告 能 力 可 以 为 每 个 单独 项 目 分 别 追踪 用 户 和 群体 行为 ， 并 根据 时 间 
统计 回应 的 趋势 。 利 用 报告 功能 ， 你 可 以 提供 证 据 来 说 明 组 织 机 构 内 易 受 攻击 的 部 分 
和 安全 行为 管理 的 进展 。 


优点 





O 程序 化 的 方法 。PhishMe 并 不 提供 一 次 性 评估 工具 ， 而 是 帮助 组 织 机 构建 立 可 持续 

的 培训 项 目 ， 并 依据 其 企业 文化 和 商业 需求 来 进行 个 性 化 设置 。 

a 真实 的 情景 和 内 容 。 为 了 紧 跟 最 新 的 钓鱼 攻击 趋势 并 让 内 容 贴 近 现 实 ，PhishMe 一 

直 在 更 新 内 容 ， 并 会 通知 组 织 机 构 的 信息 安全 人 员 最 新 出 现 的 威胁 。 

OQ 主动 报告 。PhishMe 的 专利 产品 PhishMe Reporter 是 一 种 邮件 插件 ， 它 允许 用 户 以 
一 种 标准 化 的 格式 主动 汇报 可 疑 邮件 给 安全 机 构 或 者 应 急 反应 小 组 。 用 户 的 报告 
会 为 钓鱼 攻击 的 早期 侦 测 提供 一 种 新 的 消息 来 源 ， 也 为 衡量 培训 效果 提供 了 另 

O 标杆 分 析 。 组 织 机 构 可 以 使 用 系统 化 的 训练 , 并 在 匿名 情况 下 与 其 他 PhishMe 用 户 
的 训练 结果 进行 对 比 。 此 外 , 组织 机 构 还 可 以 拿 自 己 的 结果 与 同一 行业 的 竞争 者 进 
行 对 比 。 

口 企业 级 平台 。PhishMe 提供 的 SaaS 解决 方案 在 专门 的 安全 设备 上 运行 。 在 美国 , 它 

们 运行 在 经 过 SOC 3 认证 的 专门 设备 上 。 在 欧洲 , 它们 则 运行 在 符合 欧盟 ISO 9001 

和 27001 标准 或 者 其 他 相关 隐私 规定 的 设备 上 。 



























































aR 点 





PhishMe 拒绝 提供 其 产品 的 缺点 。 
屏幕 截图 
图 7-8 到 图 7-10 展示 了 PhishMe 的 屏幕 截图 。 
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display educational content All of the pre-built templates can be easily 


一 一 一 一 HTML Use one of our pre-built HTML templates or create your own to 
customized to match your organization's branding. 


Use Previous Education Content 


Phishing and Social Media Phishing Education (Comprehensive) Current Events - More Than Just News 
Translated (rh XZ, Francais, Español) Translated (中 文 , Francais, Español) 





Where Does the URL Take You? How Emails Can Be Dangerous Current Events - More Than Just News 

















图 7-8 PhishMe 提供 的 模板 


Edit Profile ^ Logout 


Create a New Scenario 


o Data Entry Would your email users give up their login credentials if asked? Test them to see who will fall for the bait. 


Click Only PhishMe Provided Themes (14) | 


Qo Attachment ERE Refrigerator Webcam 
A webcam has been setup in the kitchen to monitor refrigerator thieves. 


Preview Landing Select Theme » 
Qo Double Barrel 


@ Benchmarks 





Annual Manager Evaluation 
Evaluations - L : a T 
Will your recipients give up their credentials to see their most recent evaluation? 


Prevew Landng 


© Highly Personalized 


@ Announcements 


Bed Bugs Found in Office 
Employees are urged to login to a portal to help curb a possible bed bug infestation, 


Preview Landing 


Email Address Verification 


A message can' be delivered until the email address is verified. How many of your users will hand over 
their login information when asked? 





图 7-9 PhishMe 提供 的 模拟 情景 
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Download FullCSV ~ 








Total Breakdown 
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æ New Reporter Reporter Timeline (first 200 reports) 
@ Repeat Reporter 


@ First Click/Open: Oct 02, 13 12:33PM 
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12:22 PM 12:24 PM 12:26 PM 12:28 PM 12:30 PM 12:32 PM 12:34 PM 








图 7-10 PhishMe Reporter 
个 人 评价 
下 面 是 我 对 PhishMe 的 评价 。 


口 使 用 这 款 工具 需要 怎样 的 知识 水 平 ? 


由 于 PhishMe 面向 初学 者 或 新 手 而 开发 ， 它 很 容易 使 用 。 设 置 任务 十 分 容易 。 列 表 





生成 和 定时 任务 界面 都 可 以 赁 直觉 操 作 。 


上 传 名 单 也 很 容易 ,我 在 不 太 了 解 这 款 软件 的 情况 下 很 轻松 就 找到 了 报告 数据 。 布 


局 和 设计 都 是 为 新 手 准 备 的 ， 能 够 很 快 上 手 。 

a 用 户 信息 的 安全 性 如 何 ? 
和 前 面 所 描述 的 软件 一 样 ， 我 并 没有 对 它 进行 安全 审计 。PhishMe 遵 
议 , 有 多 重 认证 机 制 。 另 外 , 该 公司 并 没有 使 用 亚马逊 云 服务 器 来 达到 








守 很 多 安全 协 
负载 平衡 一 


它 有 自己 部 署 的 服务 器 一 一 所 以 你 的 数据 只 会 存在 于 PhishMe 的 服务 咒 上 。 


口 使 用 该 工具 时 有 其 他 的 困难 吗 ? 
使 用 PhishMe 有 很 多 限制 。 尽管 平台 很 容易 使 用 , 我 还 是 感觉 它 缺 少 





我 在 其 他 平台 
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上 看 到 的 某 种 健壮 机 制 ， 如 用 户 报告 。 另 外 ， 变 更 请 求 的 速度 也 很 慢 。 

口 技术 支持 如 何 ? 
PhishMe 技术 支持 团队 是 非常 称职 的 ， 但 回应 非常 慢 。 我 的 请 求 通常 不 会 在 当天 之 
内 得 到 答复 。 有 一 次 项 目 进程 被 耽误 , 就 是 由 于 他 们 回应 不 及 时 再 加 上 缺乏 和 用 户 
之 间 的 沟通 所 导致 的 。 














7.1.4 Wombat PhishGuru 


使 用 Wombat Security's PhishGuru( http://www.wombatsecurity.com/solutions/anti-phishing- 
training-suite ) 模拟 钓鱼 攻击 服务 , 你 可 以 通过 发 送 模拟 钓鱼 邮件 来 评估 你 的 员工 易 受 
攻击 的 程度 并 鼓励 他 们 加 强 训练 。 当 有 员工 落 入 陷阱 时 , 它 会 显示 独特 的 “教育 提示 ”。 
员工 面前 会 立刻 出 现 一 条 持续 显示 10 秒 的 信息 ， 告 诉 员 工 刚刚 发 生 了 什么 以 及 如 何 
避免 将 来 遭受 类 似 的 攻击 。 

这 一 信息 会 提醒 员工 自身 存在 易 受 攻击 的 风险 ， 并 激励 他 们 进行 后 续 的 互动 训练 。 
PhishGuru 还 包含 一 种 自动 注册 功能 ， 它 会 给 落 入 陷阱 的 员工 立刻 发 送 一 封 训练 安排 
邮件 。 










































































优点 


a 自动 功能 提高 了 模拟 钓鱼 攻击 的 效率 ， 使 得 外 部 钓鱼 攻击 的 成 功率 大 幅 下 降 。 

O PhishGuru 的 自动 注册 功能 与 其 安全 教育 平台 相关 联 ， 人 允许 你 自动 为 落 和 陷阱 的 员 

工 安排 接 下 来 的 深度 训练 。 

口 可 以 选择 一 周 中 的 哪儿 天 或 一 天 中 的 哪 段 时 间 向 终端 用 户 进 行 随 机 的 模拟 钓鱼 攻 
iio 错开 邮 件 发 送 时 间 并 随机 选择 收 件 人 , 可 以 让 员工 不 那么 容易 察觉 出 模拟 钓鱼 
攻击 。 

a 钓鱼 攻击 邮件 中 内 伦 了 员工 落 入 陷阱 后 会 收 到 的 教育 提示 。 这 保证 员工 可 以 明白 为 

什么 他 们 会 落 入 陷阱 中 。 

口 可 以 自 定 义 智能 报告 结果 的 范围 。 

a 每 个 月 都 会 添加 新 的 钓鱼 攻击 模板 来 模拟 外 部 钓鱼 攻击 。 




































































缺点 
在 未 经 许可 的 情况 下 ，PhishGuru 不 能 提供 含有 其 他 公司 的 商标 的 钓鱼 攻击 模板 。 
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截 





图 7-11 到 图 7-13 显示 了 来 自 PhishGuru 的 屏幕 截图 。 








Hello Wombat Security Technologies (Version 14.3.1) MyAccount Logout 


(wombat PhishGuru* 


security technologies 






Contacts Reports Help 



















































Training Auto-Enrollment 
Select one or more Training Modules to include in the Auto-Enrollment Process. Users who click on the simulated phishing email will be enrolled 
automatically. 

© Anti-Phishing Phil: Learn how to spot phishing attacks by identifying fraudulent URLs 

© Anti-Phishing Phyllis: Learn how to recognize phishing emails by identifying red flags 

Æ Email Security: Learn to identify phishing emails, dangerous attachments, and other email scams 

tj SaférWeb Browsing: Stay safe on the Internet by avoiding risky behavior and common traps 

回 Social Engineéting: Recognize and avoid social engineering scams 

加 URL Training: Learn hoW'te-spot fraudulent URLs 











Assignment Name: Auto-Enrollment for PhishGuru Campaign 07-11-2014 





Assignment End Date: aug 02, 2014 Es 











图 7-11 PhishGuru 的 自动 注册 功能 











Oops! The email you just responded to was a fake phishing email. Don't worry! It was sent to 
you to help you learn how to avoid real attacks. Please do not share your experience with 
colleagues, so they can learn too. 











OH NO!!! 
This could have been a 
malicious link. 





助 用 户 意识 : 
错 在 哪里 。 

















图 7-12 ”PhishGuru 的 培训 页 面 
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Stay Alert for Smishing Messages 


Dangerous texts put you and your employer at risk 


| 


This was a test 一 areal smishing message could have 
compromised your data and your device 


Beware of These Warning Signs 


( * Unsolicited messages that urge you to respond quickly 
| Sale at Marcys!! | 
| Click on link to save $50. + Deals and offers that seem too good to be true 


* Texts from friends or strangers that ask for money or 
wire transfers 


* Shortened URLs in messages that tempt you to click 


Text From: 444Marcys 


Keep in Mind... 

* It's easy to impersonate trusted people and companies 
in texts 

* Your smartphone is a gateway to sensitive business and 
personal data 


* Claims and offers should be verified via known websites or 
phone numbers 











©2013 Wombat Security Technoloaies. Inc. All riahts reserved. 


图 7-13 PhishGuru 短信 测试 的 着 内 





Em 
= 





个 人 评价 

















下 面 是 我 对 PhishGuru 的 评价 。 





口 使 用 这 款 工具 需要 怎样 的 知识 水 平 ? 
PhishGuru 像 很 多 列 在 这 里 的 其 他 软件 一 样 ， 很 容易 使 用 。 设 置 钓 鱼 邮 件 、 任 务 、 
导入 列表 的 工具 都 很 直观 。 
Wombat Security 已 经 花 了 很 长 时 间 来 开发 针对 各 种 社会 工程 学 策略 的 训练 模块 , 你 
可 以 很 轻松 地 把 它们 纳入 你 的 培训 中 。 
总 体 来 说 ， 使 用 PhishGuru 来 进行 钓鱼 攻击 训练 ， 你 不 需要 成 为 程序 员 或 者 熟练 的 
钓鱼 攻击 者 。 

a 用 户 信息 的 安全 性 如 何 ? 
和 前 面 提 到 的 工具 一 样 , 我 没有 对 它 进行 安全 审计 , 不 过 它 在 登录 时 也 使 用 了 多 重 
认证 ， 并 人 允许 用 户 分 情况 使 用 。 使 用 PhishGuru 时 ， 我 没有 发 现任 何 明显 问题 。 它 
的 运行 非常 流畅 和 轻松 。 

O 使 用 该 工具 时 有 其 他 的 困难 吗 ? 

没有 其 他 的 大 的 困难 。 

口 BSCRSCREAWWSE? 
Wombat Security 有 可 靠 的 技术 支持 团队 。 我 的 个 人 体验 非常 好 。 他们 对 建议 和 想法 
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能 迅速 做 出 回应 。 我 发 现 他 们 非常 专业 、 容 易 相 处 ， 并 关心 客户 的 需求 。 


7.1.5 PhishLine 

PhishLine ( www.phishline.com ) 是 一 种 企业 级 的 SaaS 解决 方案 ,可 模拟 真实 世界 的 
社会 工程 学 和 钓鱼 攻击 ， 提 供 在 线 安全 意识 训练 、 基 于 风险 的 调查 以 及 详细 的 报告 和 
指标 。 























优点 


口 多 重 渠道 的 攻击 模拟 。PhishLine 并 不 限于 传统 的 基于 链接 的 钓鱼 攻击 模拟 。 它 能 
够 让 用 户 对 便携 式 媒体 、 文 字 、 语 音 、 模 拟 门 户 页 面 、 智 能 附件 等 钓鱼 攻击 形式 进 
行 测试 和 衡量 。 同 时 它 还 支持 一 系列 定制 功能 ， 人 允许 安全 专家 精确 地 测试 和 衡量 真 
实 世 界 的 安全 威胁 。 

口 报告 和 度量 。PhishLine 会 收集 很 多 可 用 数据 ， 使 得 在 专业 平台 上 进行 历史 数据 分 
析 变 得 更 加 轻松 。PhishLine 的 报告 功能 不 仅仅 是 汇总 数据 ， 它 还 可 以 提供 对 人 和 群 、 
进程 以 及 社会 工程 学 和 钓鱼 攻击 威胁 的 技术 层次 的 可 视 化 分 析 。PhishLine 能 够 发 
送 即时 可 用 的 分 级 的 用 户 报告 和 有 意义 的 指标 。 

O 对 用 户 的 服务 承诺 。PhishLine 是 由 安全 专家 开发 并 提供 技术 支持 的 。 这 是 一 个 很 
重要 的 事实 ,因为 很 多 此 类 应 用 只 是 由 开发 者 来 提供 支持 服务 。 这 支 技术 支持 团队 
不 仅 可 以 解决 软件 问题 ， 还 可 以 应 对 错综复杂 的 钓鱼 攻击 和 安全 威胁 。 

口 将 基于 风险 的 调查 整合 于 真实 世界 的 安全 培训 。 用 户 可 以 使 用 PhishLine 来 进行 针 
对 性 的 网 络 安全 意识 训练 和 基于 风险 的 调查 , 并 将 从 解决 方案 中 得 到 的 关键 指标 和 
发 现 应 用 于 自己 的 全 局 安全 措施 和 风险 培训 项 目 中 。 

































































aR 点 





对 于 刚 开始 使 用 这 款 软件 的 人 来 说 ， 界 面 和 定制 功能 可 能 看 起 来 比 其 他 工具 要 复杂 。 
屏幕 截图 
图 7-14 到 图 7-16 展示 了 PhishLine 的 屏幕 截图 。 
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Q You are about to start a new campaign. 


1. Select the Campaign Type that will be permanently assigned to the new campaign. 
2. Enter a Campaign Name and other optional information that may be changed later. 
3. Hit the Save button to enable additional options. 





® Email Campaign © Portable Media Campaign 


Campaign Type: 
































图 7-14 PhishLine 任务 启动 界面 





Event Points by Day of Week 


Points 





Day of Week 


Event Points Quarterly Comparatives 











Quarter/Year 


[ih 2011 gp 2012 gh 2013 gh 2014 | 


Al7-15 PhishLine 追踪 界面 





Measure Take Action 





图 7-16 PhishLine 钓鱼 攻击 模拟 计划 概要 





个 人 评价 








下 面 是 我 对 PhishLine 的 评价 。 





口 使 用 这 款 工具 需要 怎样 的 知识 水 平 ? 
PhishLine 是 我 用 过 的 工具 中 功能 最 强大 的 。PhishLine 的 界面 也 许 并 不 像 其 他 产品 
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口 


口 


7. 




















一 样 面 向 新 手 用 户 , 但 设置 钓鱼 攻击 邮件 、 启 动 项 目 、 导 入 列表 这 些 操作 都 并 不 难 。 
真正 强大 的 是 它 的 报告 功能 。 该 软件 可 以 为 任何 人 提供 所 需要 的 数据 一 一 从 新 手 到 
专业 数据 人 员 。 你 可 能 需要 学 习 PhishLine 提供 的 课程 或 者 从 支持 人 员 那 里 寻求 帮 
Hh, 才能 学 会 使 用 它 的 数据 报告 功能 。 但 是 ,一 旦 学 会 如 何 寻找 你 要 的 数据 ， 你 会 
为 这 一 功能 的 强大 感到 震惊 。 

PhishLine 有 非常 具有 深度 的 用 户 报告 系统 ， 人 允许 你 显示 来 自任 何 一 个 项 目的 任何 
子 数据 。 我 最 喜欢 的 功能 是 将 事件 反馈 加 入 到 报告 中 , 这 样 公司 就 可 以 通过 使 用 内 
置 于 所 有 邮件 客户 端的 邮件 转发 功能 来 管理 事件 反馈 。 你 可 以 追踪 、 分 类 和 报告 那 
些 正 确 回应 的 人 ， 这 样 你 就 可 以 识别 出 谁 “ 通 过 测试 ”了 。 

用 户 信息 的 安全 性 如 何 ? 
除 PhishMe 以 外 , 列表 中 只 有 PhishLine 是 不 使 用 亚马逊 云 服务 来 进行 负载 平衡 的 。 
我 没有 进行 安全 审计 ， 但 事实 是 所 有 负载 均衡 和 平台 都 是 运行 于 PhishLine 自己 的 
服务 器 上 的 ， 这 意味 着 增加 了 安全 层 。 

根据 我 自己 使 用 PhishLine 的 经 验 来 看 ， 可 以 说 他 们 使 用 了 非常 安全 的 服务 器 来 处 
理 用 户 的 数据 ， 并 允许 每 个 用 户 进行 分 情况 管理 。 

使 用 该 工具 时 有 其 他 的 困难 吗 ? 

使 用 PhishLine 唯一 的 困难 是 复杂 的 界面 。 我 需要 一 些 教程 才能 学 会 使 用 一 些 功 能 ， 
这 些 功能 在 我 使 用 的 其 他 系统 中 通常 都 是 可 以 赁 直觉 操作 的 。 

技术 支持 如 何 ? 
冒 着 听 起 来 像 广告 的 风险 ， 我 要 说 PhishLine 的 技术 支持 团队 非常 出 色 。 我 曾 亲 眼 
目睹 他 们 工作 到 很 晚 来 帮助 我 为 客户 解决 一 个 问题 ， 并 且 这 个 问题 并 不 是 由 于 
PhishLine 的 错误 而 导致 的 。 他 们 不 知 疲倦 地 提高 他 们 的 产品 质量 ， 当 然 ， 他 们 欢 
迎 任何 人 告诉 他 们 可 以 改进 的 地 方 。 从 我 的 经 验 来 看 , 他们 接受 反馈 并 做 出 改进 的 
动作 可 谓 神速 。 


2 开源 应 用 





































































































































































































这 一 节 涵 盖 了 在 社会 工程 人 员 中 最 为 广泛 使 用 和 知名 的 两 个 开源 工具 : SET ( Social- 
Engineer Toolkit， 社 会 工程 人 员工 具 包 ) 和 Phishing Frenzy. 
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7.2.1 SET 





SET ( https://www.trustedsec.com/social-engineer-toolkit/ ) 为 评估 者 提供 了 一 种 测试 其 
培训 和 安全 意识 项 目 有 效 性 的 机 制 。SET ALL + 肯尼迪 创建 ， 是 一 个 试图 绕 过 很 多 
常规 安全 保护 机 制 (例如 反 病 毒 软件 、 应 用 白 名 单 等 ) 以 查看 技术 控制 和 用 户 安 全 意 
识 是 否 可 以 阻止 攻击 的 技术 工具 。SET 是 由 信息 安全 机 构 对 自我 测试 的 需求 发 展 而 来 
的 。 最 常见 的 漏洞 发 掘 是 通过 社会 工程 学 和 钓鱼 攻击 进行 的 ，SET 使 用 这 些 技术 来 识 
别 培训 和 安全 意识 训练 中 的 漏洞 。 




























































































SET 给 了 组 织 机 构 编 写 可 信 的 钓鱼 邮件 的 能 力 ， 使 终端 用 户 无 从 知晓 将 要 发 动 的 潜 
在 的 钓鱼 攻击 。SET 将 最 新 的 钓鱼 攻击 技术 与 快速 建立 模拟 恶意 网 站 的 能 力 相 结合 。 
SET 使 得 组 织 机 构 可 以 轻松 地 进行 安全 测试 ， 尤 其 是 针对 那些 处 于 最 险要 位 置 的 终 
端 用 户 。 
































优点 
SET 有 很 多 优点 ， 其 中 包括 : 


口 能 够 测试 用 户 对 外 界 常见 的 特定 攻击 的 反应 效率 ; 

a 为 渗透 测试 者 提供 便捷 高 效 的 方式 来 编写 真实 可 信 的 钓鱼 邮件 并 借 此 发 动 攻 击 ; 
a 追踪 点 击 钓鱼 邮件 的 用 户 ， 并 统计 落 入 钓鱼 攻击 陷阱 的 人 员 比 例 ; 

口 呈现 如 何 避 开 一 些 当今 顶尖 的 防御 技术 的 真实 情景 ; 

口 能 够 估算 组 织 机 构 抵御 攻击 的 能 力 如 何 。 












































缺 点 


a 一 些 公司 使 用 开源 软件 有 困难 。 

O 无 法 设 定 邮件 发 送 时 间 。 

口 没有 图 形 用 户 界面 ; SET 是 通过 命令 行 运行 的 。 

口 SET 更 像 是 鱼 又 式 钓 鱼 攻击 平台 ， 发 动 攻击 前 需要 对 目标 进行 调查 。 






































截图 
图 7-17 到 图 7-19 显示 了 SET 的 屏幕 截图 。 
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op / 
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> Enter the number for the payload [meterpreter_reverg 


Prepping pyInjector for delivery.. 


Prepping website for pyInjector shellcode injection.. 

Base64 encoding shellcode and prepping for delivery.. 
Multi/Pyinjection was specified. Overriding config options. 
Generating x86-based powershell injection code... 

Finished generating powershell injection bypass. 

Encoded to bypass execution restriction policy... 

Apache appears to be running, moving files into Apache's home 


Server Launched. Welcome to the SET Web Attack. 


[--] Apache b server is currently in use for performance. [--] 


[*] Moving payload into cloned website. 


[*] The site has been moved. SET Web Server is now listening.. 


[-] Launching MSF Listener... 
-] This may take a few to load MSF... 


图 7-17 SET 菜单 结构 























<-* —TI 





Do you want to run this application? 


Name: Super Sneaky Website Hack 
=> Publisher: TrustedSec LLC 
Location: http://192.168. 134.163 
This application will run with unrestricted access which may put your computer and 


personal information at risk. Run this application only if you trust the location and 
publisher above. 


(Do not show this again for apps from the publisher and location above 


g More Information 














© 2013 - Privacy & Terms 


€ 


loogle 


A faster way to browse the web 


Install Google Chrome 


Advanced search 





Language tools 





图 7-18 SET 伪造 的 证 书 和 网 页 





msf exploit ( ) > [*] Meterpreter session 1 opened (192.168.13 
4.163:443 -> 192.168.134.159:50921) at 2014-11-24 14:28:42 -0500 


msf exploit ( ) > sessions -i 1 
] Starting interaction with 1... 


meterpreter > shell 

Process 3696 created. 

Channel 1 created. 

Microsoft Windows [Version 6.3.9600] 


(c) 2013 Microsoft Corporation. All rights reserved. 


C:\Users\davek_000\Desktop>f 


Kl 7-19 SET shell 
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个 人 评价 





下 面 是 我 对 SET 的 评价 。 





口 使 用 这 款 工具 需要 怎样 的 知识 水 平 ? 

SET 非常 强大 ， 功 能 也 很 丰富 。 由 于 该 软件 通过 命令 行 工作 ， 在 有 菜单 的 情况 下 ， 
仍然 需要 习惯 使 用 命令 行 工 具 以 及 载 人 Python 脚本 。 
话 虽 如 此 ， 大 卫 已 经 开发 了 一 个 容易 上 手 的 基于 菜单 的 工具 。 

a 用 户 信息 的 安全 性 如 何 ? 

这 款 工具 部 署 在 你 自己 的 服务 器 和 硬件 上 ， 因 此 安全 性 取决 于 你 以 及 你 如 何 设置 。 

a 使 用 该 工具 时 有 其 他 的 困难 吧 ? 

我 在 很 多 项 目 中 都 用 过 SET 一 一 通常 是 小 型 的 , 因为 用 它 来 处 理 有 上 千 个 邮件 地 址 
的 大 型 客户 需要 做 很 多 工作 。SET 是 用 来 协助 社会 工程 人 员 进 行 渗透 测试 的 , 我 不 
确定 它 是 否 适用 于 每 月 进行 的 钓鱼 攻击 培训 。 

口 技术 支持 如 何 ? 

大 卫 在 回答 问题 这 点 上 做 得 很 棒 , 他 总 是 很 快 回复 你 的 问题 。 但 是 对 于 使 用 开源 工 
具 而 言 ， 试 着 自己 通过 阅读 文档 和 网 上 搜索 答案 来 解决 问题 是 很 必要 的 。 



























































7.2.2 Phishing Frenzy 

















Phishing Frenzy ( www.phishingfrenzy.com ) 是 一 款 由 Ruby on Rails 构建 的 基于 Linux 
的 开源 应 用 ， 也 是 渗透 测试 者 用 于 管理 钓鱼 邮件 攻击 的 工具 。 


优点 


Phishing Frenzy 的 优点 如 下 : 





口 真正 的 弹性 框架 ; 

口 可 以 和 Phishing Frenzy 的 其 他 用 户 共 享 模板 和 情景 ; 
a 功能 丰富 ， 例 如 实时 追踪 、 多 任务 并 行 处 理 ， 等 等 ; 
口 开源 软件 可 以 随意 添加 自己 想 要 的 功能 。 


aR 点 

















口 Phishing Frenzy 只 能 在 Linux 上 运行 。 
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a 创建 模板 的 过 程 复杂 而 低 效 。 
口 有 一 定 的 学 习 曲 线 。 
口 无 法 定时 发 送 邮件 。 





屏幕 截图 


图 7-20 到 图 7-22 显示 了 Phishing Frenzy 的 屏幕 截图 。 














Campaigns 
Show 25 + entries Search: 
Client Description Active Emails Actions 
m SOA jax is mine e e «g] 
x Bravecorp fear the reaper e e «5 
X Monsters Inc yar sauce e - Q B 
Dd Tinker Solutions phishing time e @ Cy x | 
x Royal Corp full monty @ e Q ge 
m Phish Corp tricky tricky e [] «5 
m Contoso Inc Phish them all @ e ^ x | 
m Contoso Phishing the things e e Q ga 
Showing 1 to 8 of 8 entries 
Previous [s] Next 








图 7-20 Phishing Frenzy 任务 菜单 











Campaign Settings 
Template Selection 
SMTP Settings 


Pre-popul 





SMTP Server: 


SMTP Outbound Server: 


SMTP Domain: 


SMTP Authentication: 


SMTP Usemame: 





SMTP Password: 


Openssl Verify Mode: 


Enable Start TLS 
‘Automatically?: 


SMTP Port: 


Email Settings 
Phishing Options 


SMTP Sending Delay: 
Track User Clicks? 


Use BeeF? 


Use SSL? 





Recent Blasts 


Preview 


Campaign Options - Contoso Inc 


~-Select-- 
smtp.sendgrid.net 
smtp.sendgrid.net 
phishingfrenzy.local 
plain 
username 
password 


VERIFY_NONE 


25 


0 seconds 


g 


Test 


Launch 
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Edit Email 
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© OO J we Phishing Frenzy | 


" 








Hi 


Ui 





€ > Q [D phishingfrenzy.local/reports/stats?id=1 


Active: 
true 


Time Elapsed: 


OD - 3H - 5M - 44S 


Template Used: 


Campaign Name: 


Demo 


Intel Password Checker 


More Options 


(BF recorde por pogo 


Victim UID Email Address 


QTQKJINNHemailo@domain.net 


IZVQFHJH email1@domain.net 


LCTDPIXP email2@domain.net 


MYSSFPMemail3@domain.net 


OFEPUTXM email4@domain.net 





Opened: 
1 
Sucess Rate: 
16% 





Email Sent?Email Opened?Link Clicked?Password Seen?Time Visited 


AKBCRTUGmccann.brandonQgmail.com Yes 


Yes 
Yes 


Yes Yes 
No No 
No No 
No No 
No No 
No No 


Yes 


2014-07- 
03T04:24:492 
N/A 
N/A. 
N/A 
N/A 
N/A 
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个 人 评价 


下 面 是 我 对 Phishing Frenzy 的 评价 。 


口 使 用 这 款 工具 需要 怎样 的 知识 水 平 ? 
Phishing Frenzy 是 一 款 非常 好 的 开源 软件 。 菜 单 容易 理解 ， 布 局 清晰 合理 ， 而 且 我 
不 认为 使 用 这 款 软件 需要 很 高 深 的 知识 。 我 主要 关心 的 是 钓鱼 邮件 的 创建 方式 。 
Phishing Frenzy 没有 WYSIWYG ( what you see is what you get， 所 见 即 所 得 ) 的 邮 
件 编辑 平台 。 因 此 ， 你 不 得 不 先 用 本 地 的 HTML 编辑 器 编辑 邮件 ， 然 后 上 传 .html 



























































文件 到 服务 右上 , 把 它 当 作 模 板 分 配给 钓鱼 邮件 。 这 一 点 让 我 觉得 它 对 新 手 不 友好 。 








这 坎 工 具 部 署 在 你 自己 的 服务 顺和 硬件 上 ， 因 此 安全 性 取决 于 你 以 及 你 如 何 设置 。 
口 使 用 该 工具 时 有 其 他 的 困难 吗 ? 


口 用 户 信息 的 安全 性 如 何 ? 





























除了 设置 邮件 比较 困难 以 外 ,这 款 工 具 还 是 很 好 用 的 。 它 的 报告 功能 不 算 强大 , 但 


ETISH 
我 用 Phish 


























数据 进行 更 深层 的 分 析 。 对 于 开源 工具 来 说 ， 这 是 一 个 好 选项 。 
ing Frenzy 发 送 过 几 百 封 邮件 。 最 近 一 次 的 使 用 中 , 我 没有 遇 到 任何 问题 。 


口 技术 支持 如 何 ? 
这 款 软件 并 不 是 开发 者 的 主 业 。 鉴 于 他 还 有 一 份 全 职工 作 , 他 的 答复 速度 还 是 很 快 
的 。 他 会 及 时 回答 安装 服务 器 的 问题 ， 并 修补 发 现 的 任何 漏洞 。 





7.3 ”对比 表 格 


本 章 包含 了 大 量 信息 一 一 这 些 信息 是 如 此 繁杂 ， 即 使 我 用 过 上 述 这 些 工具 ,我 也 很 难 
将 所 有 细节 直观 地 展示 出 来 。 因 此 ,我 决定 将 这 些 工具 的 功能 列 成 表格 以 供 参 考 ， 这 
样 便于 快速 查询 每 种 工具 的 功能 配置 状况 。 


下 面 是 对 图 7-23 中 的 符号 的 说 明 。 









































Q Y= 是 ， 这 种 工具 有 这 种 功能 。 

口 N= 否 ， 这 种 工具 没有 这 种 功能 。 

O NA= 不 适用 ,这 种 功能 完全 不 匹配 于 这 种 工具 。 
O * 或 {= 表格 内 脚注 会 提供 特定 功能 的 更 多 信息 。 








HEHHE ETL BÀ 








73 Wkł | 161 



























































Eam 

3E Bs 

TUS: 

3E DUE SA EE SHANK 
N N N N N N N Js Ee S SCR RU CER bz (LO — 
人 N 人 人 人 人 N Hie V & Dye pel 33-38 
N N 人 人 人 人 人 BOGEXPESS oe 
IE 人 N 人 人 人 人 人 ANV E HASO “STXW S88 
N YN 人 人 DN 人 人 TARA et B By 1-38 
x 人 VN N 人 N 人 VN Si Gp V Ly 3p 6 A SZ TS EH I 
VN VN 人 人 人 人 VN YE se Yo 
人 人 人 人 人 人 N THANA 
N 人 人 人 人 人 人 Xt EDO x9 ES Ede t a8 
N 人 人 人 人 N N Yeti =) Bi By CSL) 3g t7 88 
VN VN 人 VN 人 人 VN PREEMPT RER SEATED 4 8 ok ttf 
N N 人 N 人 人 N HET BA LE A he HEY 
人 人 人 人 人 人 N PR ETE S38 
A 人 人 N x 人 人 人 VATER E) ep d dh 65: 738 
N N 人 人 人 人 人 BAKRI 33 7 38 
N N 人 人 人 人 人 BHIE 
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7.4 谁 来 管理 培训 


本 章 还 有 最 后 有 一 个 问题 一 一 即使 问 这 个 问题 有 种 自我 推销 的 感觉 , 它 也 仍旧 是 你 需 
要 考虑 的 一 个 非常 重要 的 选项 一 一 是 否 交 给 别人 来 管理 钓鱼 攻击 培训 。 



































本 章 中 提 到 的 所 有 软件 都 必须 交 给 某 人 来 操作 ， 因 此 ,你 是 想 请 公司 内 部 的 某 个 员工 
来 负责 此 事 ， 还 是 想 请 一 家 像 我 们 这 样 的 公司 呢 ? 





我 无 法 替 你 回答 这 一 问题 ， 但 是 至 少 可 以 提出 一 些 问 题 和 想法 来 供 你 参考 。 








O 如 果 请 公司 内 部 的 员工 来 负责 钓鱼 攻击 培训 , 那么 他 是 只 负责 这 一 工作 , 还 是 要 身 
兼 其 他 工作 ? 从 前 面 的 章节 中 可 以 看 出 ， 进 行 钓鱼 攻击 培训 是 一 份 全 职工 作 。 

口 记 住 ， 每 个 月 你 都 要 发 送 钓鱼 攻击 邮件 、 更 新 用 户 列 表 、 确 保 你 的 邮件 得 到 许可 ， 
还 要 撰写 一 份 专业 报告 。 
a 你 雇用 的 内 部 员工 或 外 部 供应 商 在 编写 、 审 查 和 评价 钓鱼 攻击 邮件 方面 有 经 验 吗 ? 
a 你 雇用 的 内 部 员工 或 外 部 供应 商 在 社会 工程 学 攻击 方面 有 经 验 吗 ? 他 们 是 否 有 渗 
透 测试 方面 的 经 验 ， 并 能 找到 可 信 的 理由 来 编写 钓鱼 邮件 ? 

a 你 每 个 月 想 花 多 少时 间 在 这 个 培训 上 ? 这 一 问题 可 以 帮助 你 确定 究竟 是 需要 新 
工 、 外 部 供应 商 还 是 内 部 团队 来 管理 这 个 项 目 。 






























































0 





这 并 非 一 旦 选择 就 不 能 更 改 。 拿 现在 正和 我 们 合作 的 一 些 公司 来 说 ,它们 起 初 派 内 部 
团队 来 管理 培训 ， 并 使 用 了 本 章 中 提 及 的 茶 一 款 工 具 。 在 开展 培训 几 个 月 后 ， 这 些 公 
司 意识 到 自己 需要 帮助 ， 于 是 雇用 了 我 们 。 














不 管 你 如 何 选择 ， 你 都 可 以 适时 改变 ， 或 者 坚持 你 的 想法 。 重 要 的 是 一 一 无 论 你 的 选 
择 如 何 一 一 让 你 的 员工 意识 到 钓鱼 攻击 的 危险 并 学 会 防御 。 











1 = 


7.5 总结 





本 章 旨 在 整合 前 六 章 的 内 容 , 并 为 你 找 出 一 款 可 以 帮助 你 执行 脑海 中 的 培训 计划 的 工 
具 。 究 竟 是 使 用 开源 软件 还 是 商业 软件 ”究竟 是 使 用 功能 更 强大 的 工具 ,还 是 使 用 更 


Y 




















新 手 的 ? 这 些 问 题 需 要 你 自己 回答 , 也 可 以 联系 安全 服务 供应 商 来 帮助 你 评估 你 


as 
Lt > 
需求 。 


的 
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正如 前 面 所 说 的 ,真正 重 要 的 是 在 你 的 组 织 机 构 中 如 何 开展 钓鱼 攻击 培训 项 目 ， 而 选 
择 工具 是 其 中 重要 的 一 步 。 想 象 着 你 决定 建造 一 个 鸟 舍 ， 但 是 你 拥有 的 唯一 的 工具 是 
一 把 太子 。 这 种 条 件 下 ， 你 不 可 能 很 快 完成 工作 ; 你 可 能 会 感到 挫败 ， 然 后 放弃 。 





























符合 你 和 你 的 培训 项 目的 需求 的 工具 可 以 消除 你 的 挫败 感 ， 帮 你 快速 推进 项 目 , 并 让 你 
将 注意 力 集中 于 培训 效果 而 不 是 实际 过 程 。 衷 心 硕 望 本 章 对 你 的 决策 能 够 有 所 帮助 。 
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像 老 极 一 样 进行 钓 全 攻击 


“我 会 怀念 我 们 的 谈话 的 。” 
bh AR 阿尔 格 兰 (Nathan Algren) , 
《最 后 的 武士 》 

















在 我 和 克 里 斯 撰 写 这 本 书 的 短暂 时 间 里 发 生 了 很 多 事情 。 很 多 安全 漏洞 事件 在 报道 后 
引起 了 高 度 关注 ,包括 eBay、 家 得 宝 、 索 尼 、 福 乐 鸡 和 摩根 大 通 。 可 以 肯定 ， 后 续 将 
A SMa RAB. 、 身 份 信息 遭 到 泄露 或 者 更 进一步 的 钓鱼 攻击 活动 。 





















































反 钓 鱼 工 作 组 于 2014 年 8 月 29 日 发 布 的 报告 "显示 ，2014 年 第 二 季度 ， 被 报告 的 独 
立 钓 鱼 站 点 数量 居于 历年 的 第 二 位 一 一 128 378 个 。 另 外 ， 被 报告 的 钓鱼 邮件 达到 了 
171 801 种 。 这 还 只 是 报告 给 反 钓 鱼 工作 组 的 数量 。 可 以 推测 ， 现 实 中 的 钓鱼 攻击 和 
晋 意 网 站 的 数量 远 超 于 此 。 近 十 年 来 ,报告 给 反 钓 鱼 工 作 组 的 钓鱼 攻击 和 恶意 网 站 的 
数量 也 有 持续 增加 的 趋势 。 







































































更 糟糕 的 是 ， 钓 鱼 攻击 者 的 动作 更 快 、 手 段 更 高 明 、 攻 击 方式 更 富 于 变化 了 。 最 近 一 








(D Anti-Phishing Working Group, “Phishing Activity Trends Report, 2nd Quarter 2014,” August 29, 2014, 
http://docs.apwg.org/reports/apwg_trends_report_q2_2014.pdf. 
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项 由 谷歌 和 加 利 福 尼 亚 大 学 圣迭戈 分 校 联合 开展 的 关于 账号 动 持 的 研究 "表明 ， 有 
20% 的 账号 只 需 30 分 钟 即 可 破解 ，50% 的 账号 需要 7 个 小 时 就 能 得 手 。 男 外 ,攻击 者 
平均 花费 3 分 钟 搜索 邮件 信息 一 一 例如 财务 数据 或 者 其 他 账号 信息 一 一 并 据 此 确定 哪 
些 账 号 是 有 价值 的 。 最 后 ， 这 项 研究 发 现 被 盗 账 号 的 联系 人 比 其 他 人 遭 到 钓鱼 邮件 攻 
击 的 可 能 性 高 36 倍 ， 这 意味 着 钓鱼 攻击 者 会 利用 受害 人 的 朋友 和 同事 的 身份 来 进行 
攻击 。 
























































无 论 如 何 ， 在 可 预见 的 未 来 ， 钓 鱼 攻击 将 继续 成 为 困扰 人 们 和 组 织 机 构 的 一 个 问题 。 
想 要 真正 解决 这 个 问题 , 唯一 的 办 法 是 不 断 学 习 , 并 在 一 切 网 络 活动 中 保持 安全 意识 。 








8.1 深入 钓鱼 攻击 

让 最 后 一 章 不 只 是 简单 重复 前 几 音 的 内 容 并 不 容易 。 我 和 米 欧 尔 讨论 过 如 何 为 本 书 做 
一 个 总 结 ， 最 后 我 们 列 出 了 一 个 简短 的 清单 ， 其 中 概括 了 本 书 中 提出 的 一 些 概念 ， 以 
及 我 们 希望 你 能 从 本 书 中 学 到 的 东西 。 














8.1.1 WEW, ARTIA 


钓鱼 攻击 并 非 一 种 娱乐 消 遗 ， 它 是 坏人 实 实在 在 的 生意 。 有 报道 称 , 2013 年 因 钓 鱼 攻 
击 而 遭受 的 损失 超过 59 亿美 元 。“ 像 其 他 生意 一 样 , 钓鱼 攻击 一 直 在 发 展 和 调整 以 保 
证 “收益 ”。 尽 管 尼日利亚 419 骗局 仍然 存在 并 奏效 ,但 钓鱼 攻击 总 体 越发 真 假 难 辨 ， 
也 不 再 具有 那些 我 们 曾经 用 来 识别 骗局 的 容易 辨认 的 特征 。 
















































































另外 , 钓鱼 攻击 者 知道 如 何 驱使 人 们 付 诸 行 动 , 他们 也 不 音 于 利用 敏感 话题 和 不 幸 遭 
遇 来 诱 使 你 点 击 链接 。 














防范 钓鱼 攻击 : 给 普通 人 的 建议 











不 幸 的 是 , 高 级 钓鱼 攻击 意味 着 你 对 收 到 的 邮件 不 得 不 多 加 防范 。 下 面 列 出 了 一 些 防 











(D Google, Inc. and the University of California, San Diego, “Handcrafted Fraud and Extortion: Manual 
Account Hijacking in the Wild,” retrieved November 11, 2014, http://services.google.com/fh/files/blogs/ 
google hijacking study 2014.pdf. 

(2 EMC, “2013 a Year in Review,” January 2014, http://www.emc.com/collateral/fraud-report/rsa-online- 
fraud-report-012014.pdf. 
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范 钓鱼 攻击 的 简单 规则 ， 能 够 帮助 你 不 懂 技 术 的 朋友 和 家 人 。 











O 如 果 在 家 收 到 不 明 上 邮件, 请 不 要 打开 ,并 将 它 删除 。 如 果 在 公司 收 到 ,请 报告 给 合 

适 的 内 部 机 构 来 处 理 。 

口 如 果 邮 件 来 自 认识 的 人 , 在 点 击 任何 附件 或 者 链接 之 前 仔细 思考 一 下 。 邮 件 内 容 和 
你 认识 的 这 个 人 的 行为 相符 吗 ? 如果 邮件 中 提出 了 请 求 , 那么 这 请 求 说 得 通 吗 ? 如 
果 对 这 封 邮件 的 发 件 人 身份 存 有 疑虑 ， 那 么 通过 其 他 方式 联系 他 。 

O 如 果 邮 件 来 自 一 个 曾 在 线 打 过 交道 的 机 构 ( 例如 银行 或 者 社交 媒体 )， 可 以 给 他 们 

打 电 话 或 者 通过 浏览 絮 访 问 其 官网 , 并 且 不 要 点 击 邮件 里 的 链接 。 永远 不 要 通过 邮 

件 提供 认证 信息 或 者 个 人 信息 。 多 花 五 秒 的 时 间 , 使 用 已 知 的 安全 的 方式 来 提供 个 

人 信息 ， 可 以 保障 个 人 信息 的 安全 。 



















































































听从 这 些 建 议 意味 着 你 可 能 错过 朋友 的 新 消息 , 或 者 错过 一 次 在 线 交 易 , 但 是 换个 角 
度 来 看 ,也 避免 了 可 能 出 现 的 从 电脑 被 攻击 到 身份 信息 被 穷 等 不 良 后 果 。 如 果 你 对 钓 



































可 以 帮助 你 避免 日 后 的 很 多 痛苦 。 


在 撰写 这 一 章 时 , 我 参加 了 一 家 公司 的 会 议 。 这 家 公司 有 员工 点 击 了 钓鱼 邮件 中 的 链 
接 ， 导 致电 脑 中 被 安装 了 某 种 勒索 软件 。 这 些 勒 索 软 件 加 密 了 用 户 的 驱动 、 网 络 以 及 
与 之 相连 的 驱动 。 黑 客 使 用 的 是 非常 牢固 的 加 密 技 术 ， 其 中 也 没有 漏洞 可 以 突破 。 这 
意味 着 用 户 要 么 付 钱 给 殴 放 者， 要 么 失去 数据 〈 除非 正确 备份 过 )。 其 实 只 需要 多 人 花 
几 秘 钟 思考 一 下 ,通过 浏览 锅 打 开 链 接 而 不 是 点 击 邮 件 里 的 链接 ， 就 可 以 防止 造成 如 
此 巨大 的 损失 ， 这 难道 不 值得 吗 ? 






































防范 钓鱼 攻击 : 给 专业 人 员 的 建议 

















不 幸 的 是 , 安全 专家 的 工作 越 来 越 多 。 我 们 发 现 只 有 少数 组 织 机 构 愿 意 花 钱 在 咨询 或 
大 型 团队 上 ， 因 此 专业 安全 人 员 在 这 些 公司 里 不 得 不 身 兼 数 职 。 显 然 , 最 好 是 由 熟悉 
钓鱼 攻击 的 人 来 进行 钓鱼 攻击 培训 和 测试 。 但 是 即使 这 些 你 都 没有 ,还 有 一 些 事情 是 
你 可 以 做 的 。 
















































































OQ 紧 跟 流行 的 钓鱼 攻击 方式 ,可 以 通过 访问 www.apwg.org 和 www.social-engineer.com 
这 类 网 站 。 如 果 你 仍然 认为 钓鱼 攻击 是 一 种 由 没 受 过 什么 教育 的 恶棍 发 起 的 低 威胁 
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性 攻击 , 那么 更 新 你 在 相关 领域 的 知识 可 能 是 明智 的 。 希望 本 书 可 以 帮助 你 建立 一 
些 钓 鱼 攻击 的 基本 概念 。 

a 把 钓鱼 攻击 和 普通 社会 工程 学 教育 纳入 你 的 安全 意识 培训 中 。 你 的 工作 一 开始 也 
许 不 能 覆盖 所 有 的 情况 ,但 通过 这 些 方 法 来 提醒 你 的 员工 总 比 希望 问题 自己 消失 
要 更 好 。 
































对 钓鱼 攻击 的 性 质 和 范围 有 所 了 解 后 ， 你 的 最 终 目 标 是 开展 一 系列 连贯 的 课程 ， 能 够 
进行 定期 测试 和 培训 , 并 教导 所 在 的 组 织 机构 如 何 识 别 和 应 对 现实 生活 中 的 钓鱼 攻击 。 








8.1.2 为 组 织 机 构 设 定 合理 的 目标 


在 理想 的 世界 中 , 我 们 会 捕获 所 有 发 送 进来 的 恶意 邮件 , 并 不 受 干 扰 地 开展 日 常 工作 。 
然而 这 并 不 现实 。 既 然 如 此 ， 又 该 如 何 设 定 切 合 实际 的 目标 呢 ? 设 定 目标 是 开展 钓鱼 
攻击 培训 的 基础 。 如 果 你 不 清楚 你 的 目标 ,那么 你 也 不 会 知道 何 时 到 达 ， 或 者 如 何在 
工作 过 程 中 纠正 它 。 












































目标 设 定 高 度 取 决 于 你 的 企业 文化 和 领导 力 。 你 的 公司 长 期 都 有 高 营业 额 吗 ?” 对 你 所 
在 的 公司 而 言 , 有效 沟通 是 常态 吗 ? 你 处 在 一 个 高 度 响应 式 管理 的 环境 中 吗 ? 在 钓鱼 
攻击 安全 意识 方面 , 你 知道 你 们 公司 正 处 于 何 种 水 平 吗 ? 在 设 定 切合 实际 的 目标 时 有 
很 多 因素 要 考虑 ， 下 面 列 举 了 一 些 以 供 参 考 。 











口 期 限 。 你 希望 多 和 久 可 以 看 到 变化 ”即使 在 小 公司 内 ,相信 员工 行为 会 在 几 个 月 内 发 
生 改 变 也 是 不 现实 的 。 有 的 客户 花 了 几 年 的 时 间 致 力 于 在 公司 文化 中 创建 安全 意识 
并 对 其 进行 提升 。 钩 鱼 攻击 教育 并 非 一 劳 永 逸 。 除 非 钓鱼 攻击 威胁 不 复 存 在 ， 否 则 
有 效 的 钓鱼 攻击 培训 项 目 不 会 终止 。 虽然 如 此 , 企业 文化 在 几 个 月 内 就 发 生变 化 也 
并 非 完 全 不 可 能 ， 只 是 要 明日 通常 需要 更 长 的 时 间 才 能 看 到 显著 的 变化 。 

O 指标 。 你 该 如 何 衡量 这 种 变化 ? 如 果 不 认 清 现状 , 那 就 无 法 衡量 哪些 提升 是 有 意义 
的 。 如 果 选 择 每 次 只 测试 一 部 分 人 , 那么 观察 每 月 点 击 率 的 变化 是 无 意义 的 。 不 妨 
考虑 其 他 的 改变 指标 , 例如 报告 的 情况 , 或 者 更 具体 的 行为 , 例如 恶意 软件 侦 测 率 

恶意 软件 通常 是 钓鱼 攻击 带 来 的 )。 










































































合理 的 目标 是 有 效 开展 项 目的 基础 。 
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8.4.8 ”规划 培训 项 目 


除了 每 月 、 每 季度 或 每 年 随机 发 送 一 些 钓 鱼 邮件 ， 一 个 持续 的 钓鱼 攻击 培训 项 目 还 
有 很 多 要 做 的 事情 。 你 已 经 设 定 了 目标 ,但 要 怎么 做 才能 达到 呢 ?” 问 问 自己 下 面 这 
些 问题 。 
































a 使 用 哪 种 钓鱼 攻击 工具 ， 为 什么 ? 

口 如 何 划 定 公司 的 基线 ? 

Q 应 该 以 何 种 频率 发 送 钓 鱼 邮件 ? 

O 每 次 提升 难度 要 等 待 多 久 ? 

口 如 何 汇 报 检 测 结 果 (点击 率 、 报 告 率 、 其 他 指标 ) ? 
口 对 于 可 颖 邮件， 员工 应 该 如 何 处 理 ? 

口 员工 可 以 利用 哪些 途径 报告 可 疑 邮件 ? 

口 如 何 对 待 “ 累 犯 ” 的 员工 ? 

口 如 何 对 待 表现 良好 的 员工 ? 

口 如 何 把 上 述 这 些 问 题 纳 和 相关 培训 之 中 ? 


























你 的 培训 计划 应 该 将 上 述 问 题 中 的 因素 都 考虑 进去 。 前 期 准备 工作 越 充分 ， 培 训 项 目 
进展 就 会 越 顺利 。 你 甚至 能 够 预 判 今后 可 能 会 出 现 的 问题 ， 并且 至 少 你 对 如 何 进行 相 
应 的 调整 能 有 一 些 想法 。 














8.1.4 理解 指标 


最 近 有 一 位 欣喜 若 狂 的 客户 向 我 们 报告 说 一 个 月 之 内 点 击 率 下 降 了 5096, 5096! FY 
可 贺 , 是 吧 ? 好 吧 , 可 能 是 。 这 里 有 个 问题 : 他 们 已 经 决定 每 个 月 只 测试 一 小 部 分 人 ， 
目标 是 一 年 内 测试 完 公司 的 所 有 人 。 这 意味 着 在 此 时 间 段 内 , 没有 人 会 接受 重复 测试 。 
既然 如 此 ,一 个 月 的 点 击 率 下 降 又 能 说 明 什么 ? 或许 员工 之 间 彼 此 谈论 此 事 ， 于 是 所 
有 人 都 知道 了 公司 正在 进行 钓鱼 攻击 测试 。 或 许 第 二 组 员工 碰巧 遇 到 了 更 容易 识别 的 
钓鱼 攻击 。 再 或 许 第 二 组 恰好 比 第 一 组 更 懂 钓 鱼 攻击 技术 。 我 们 无 从 得 知 点 击 率 下 降 
的 原因 。 
































你 需要 明白 数字 能 说 明 什 么 和 不 能 说 明 什 么 。 对 于 一 个 有 统计 学 上 的 显著 差异 的 数 
字 集合 来 说 一 也 就 是 说 ， 每 组 数据 之 间 的 区 别 是 由 于 一 个 控制 变量 所 致 ， 而 非 偶 
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然 一 一 某 些 特定 条 件 肯定 存在 。 这 是 统计 人 员 研 究 的 问题 ， 已 经 超出 了 本 书 讨论 的 
范围 ， 不 过 你 的 确 需 要 考虑 一 下 。 


很 多 因素 都 可 以 影响 测试 结果 。 也 许 我 们 问 了 正确 的 问题 ， 但 这 些 数据 组 仍然 可 能 在 
其 他 无 意义 的 方面 展示 出 显著 的 差异 ， 例 如 喜欢 的 音乐 类 型 、IQ 、 子 女 的 数量 。 明 白 
我 的 意思 了 吗 ? 因此 , 我 并 不 能 很 肯定 地 说 这 个 月 相 比 前 一 个 月 的 显著 差异 是 非常 有 
意义 的 。 但 如 果 这 个 趋势 持续 下 去 ， 那 么 我 们 就 可 以 得 出 某 些 积极 的 结论 ， 其 至 不 用 
等 你 的 统计 人 员 开 口 。 我 们 想 强调 的 关键 一 点 是 ， 如 果 你 持续 得 到 80% 的 点 击 率 ， 而 
报告 率 几 乎 为 零 , 而 下 个 月 你 发 现 点 击 率 只 有 10%, 那么 在 你 庆祝 钓鱼 攻击 培训 终于 
大 功 告 成 之 前 ， 请 先 想 想 为 什么 这 一 切 会 发 生 。 

































































你 的 员工 都 出 去 度假 了 吗 ? 报告 率 是 否 也 随 之 上 升 ? 钓鱼 攻击 邮件 里 有 某 个 很 多 人 
都 关注 的 问题 吗 ? 数据 出 现 峰 值 的 原因 是 什么 ”如 果 这 只 是 偶然 状况 , 那么 下 个 月 你 
会 发 现 数据 又 变 粮 了 。 当 你 看 到 数据 持续 好 转 时 ， 就 可 以 开始 庆祝 了 。 





























最 后 ， 要 考虑 这 些 指 标 究竟 是 在 为 什么 服务 。 我 们 明白 有 些 指 标 对 于 帮助 你 量化 培训 
效果 十 分 重要 ,并且 坦 白 来 说 ， 能 为 公司 管理 层 提 供 该 培训 项 目 物 有 所 值 的 依据 。 但 
是 记 住 ， 培 训 项 目 理论 上 是 为 了 帮助 你 的 员工 识别 和 应 对 钓鱼 攻击 ， 而 不 是 制造 一 页 
又 一 页 的 统计 数据 。 



































8.1.5 适当 回应 


目前 为 止 , 我 们 希望 你 已 经 清楚 这 一 点 : 我 们 致力 于 通过 创建 安全 文化 和 对 员工 进行 
培训 来 排除 安全 隐患 ， 而 不 是 排除 你 的 员工 。 好 的 培训 能 让 雇主 和 雇员 都 从 中 受益 菲 
浅 。 通 过 塑造 员工 对 钓鱼 攻击 的 防范 能 力 和 警惕 性 ， 你 所 培养 的 好 习惯 将 会 带 入 到 他 
们 的 个 人 生活 中 去 。 好 的 安全 培训 项 目 唯一 的 缺点 是 会 花费 很 多 时 间 、 精 力 和 资源 。 
不 幸 的 是 ， 据 我 们 了 解 ， 过 去 的 观点 是 在 安全 上 的 花费 都 是 强制 性 的 。 舍 弃 这 种 投资 
的 风险 太 大 。 好 消息 是 ， 尽 管 如 此 ， 对 你 所 在 的 组 织 机 构 而 言 收益 仍 远 大 于 投入 。 
























































然而 有 些 人 就 是 不 明白 这 些 。 尽 管 有 训练 和 大 量 的 警告 ， 这 些 人 仍然 点 击 他 们 收 到 的 
邮件 中 的 每 个 链接 。 他 们 在 论坛 上 使 用 自己 的 工作 邮件 地 址 。 他 们 在 社交 媒体 上 公布 
你 们 公司 的 内 部 工作 细节 。 不 垃 的 是 ， 这 些 人 的 确 将 你 们 置 于 险 境 。 
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如 果 你 的 公司 里 有 这 么 一 个 人 ， 而 你 已 经 试 过 很 多 办 法 来 教育 他 ， 可 是 都 没什么 效果 ， 
那么 你 的 选择 余地 就 很 小 了 。 你 可 以 把 他 安排 到 一 个 不 同 的 一 一 希望 危害 小 一 些 的 

部 门 里 〈 想 想 电 影 《 上 班 一 条 虫 》 里 的 弥 尔 顿 )， 或 者 采用 最 后 的 办 法 : 开除 他 们 。 
开除 的 代价 是 需要 找 人 接替 他 们 的 位 置 ， 然 后 又 需要 对 新 人 进行 全 套 的 安全 培训 。 














说 明 我 们 曾经 合作 过 的 一 家 公司 做 得 很 好 : 员工 在 钓鱼 攻击 培训 中 的 表现 与 他 们 
的 奖金 和 评价 紧密 相关 。 这 家 公司 有 一 个 指标 衡量 员工 是 否 “通过 ”了 培训 ， 
他 们 的 奖金 会 因此 受到 影响 。 这 确实 使 人 们 对 培训 更 上 心 了 。 


最 后 一 点 关于 适当 回应 的 想法 : 组 织 机 构 希 望 它们 的 人 员 通 过 安全 工作 和 明智 决策 来 
支持 它们 。 但 更 重要 的 是 ， 这 一 点 反 过 来 也 成 立 : 组 织 机 构 必 须 支 持 它们 的 人 员 ,， 并 
制定 鼓励 安全 行为 的 政策 和 流程 , 不 要 让 人 员 面 临 在 保持 礼 狐 和 泄露 信息 之 中 必须 二 
选 其 一 的 处 境 。 下 面 是 一 些 组 织 机 构 层 面 需要 思考 的 问题 。 















































a 公司 对 员工 的 社交 媒体 有 相关 政策 吗 ? 

口 目前 有 验证 通话 双方 身份 的 程序 吗 ? 

口 有 内 部 信息 应 该 如 何 被 存储 和 分 享 的 指南 吗 ? 
口 员工 有 安全 便捷 的 报告 可 疑 事 件 的 途径 吗 ? 














帮助 员工 就 是 帮助 你 自己 。 在 你 参与 其 中 的 同时 , 确保 公司 管理 层 人 员 和 C 级 管理 者 
都 参与 到 了 项 目 之 中 。 尽 管 他 们 可 能 不 喜欢 钓鱼 攻击 的 主意 ,但 是 他 们 可 能 掌握 公司 
的 关键 信息 ， 因 此 是 最 需要 接受 培训 的 。 











8.1.6 ”决定 时 刻 : 内 部 构建 还 是 外 部 构建 

最 近 ， 我 有 幸 给 对 钓鱼 攻击 培训 感 兴趣 的 一 群 人 做 演讲 。 有 人 问 进行 钓鱼 攻击 培训 实 
际 需 要 花费 多 少时 间 。 当 然 , 我 不 能 给 出 一 个 准确 的 时 间 , 但 是 下 面 的 概述 可 以 告诉 
你 培训 大 体 涉及 哪些 环节 。 

















(1) 确保 钓鱼 攻击 邮件 逼真 .与 时 俱 进 并 且 有 一 定 相关 性 , 但 不 要 给 员工 造成 心理 伤害 。 
(2) 经 相关 部 门 的 批准 后 发 送 邮 件 ， 这 一 步 涉 及 修改 和 迭代 。 

(3) 确保 列表 得 到 了 升级 一 一 添加 了 新 员工 并 移 除了 已 经 离职 的 员工 。 

(4) 准备 合适 的 教育 页 面 。 
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(5) 在 系统 中 载 人 需要 使 用 的 邮件 列表 、 钩 鱼 攻击 邮件 和 教育 页 面 。 

(6) 设 定好 训练 时 间 ， 测 试 邮件 是 否 能 正常 发 送 。 

(7) 确保 邮件 能 正常 送 达 。 

(8) 收集 所 有 信息 ， 可 能 包括 点 击 数 、 报 告 钓鱼 攻击 的 人 数 ， 等 等 。 
(9) 撰写 报告 ， 提 供 点 击 率 的 趋势 观察 信息 ， 指 出 情况 是 好 转 还 是 恶化 。 
(10) 每 月 或 者 每 季度 重复 这 一 过 程 。 


























正如 你 所 看 到 的 ， 这 并 非 一 份 兼 职工 作 ， 因 此 把 这 些 任 务 分 配给 一 位 已 有 全 职工 作 的 
员工 (并且 他 可 能 对 钓鱼 攻击 或 者 社会 工程 学 并 不 熟悉 ) 会 导致 培训 效率 低下 ， 并 会 
影响 你 展示 ROI ( return on investment， 投 资 回 报 率 ) 的 机 会 。 








也 许 你 可 以 雇用 别人 来 帮助 你 在 内 部 进行 培训 ,或 者 员工 内 部 可 能 有 合适 的 人 选 。 这 
一 点 对 开展 成 功 的 内 部 培训 非常 必要 。 
































但 是 如 果 你 现在 意识 到 你 没有 员工 、 技 能 或 者 意愿 来 开展 内 部 培训 ， 因 此 想 寻 找 顾问 
来 帮助 你 ， 你 该 怎么 办 ? 当然 ， 你 可 以 在 谷歌 上 搜索 “钓鱼 攻击 顾问 ”。 你 可 能 会 得 
到 一 些 结果 ,也 肯定 会 看 到 很 多 公司 声称 有 钓鱼 攻击 方面 的 专长 。 你 该 如 何 选择 呢 ? 
有 一 件 事 可 以 帮 到 你 ， 那 就 是 先 问 问 你 的 候选 人 下 面 这 些 问 题 。 





























口 你 们 开展 过 多 少 钓鱼 攻击 的 项 目 ? 

口 你 们 发 送 过 多 少 封 钓鱼 攻击 邮件 ? 

口 你 们 使 用 软件 里 的 钓鱼 攻击 模板 还 是 自己 写 ? 

口 你 们 公司 对 于 钓鱼 攻击 如 何 奏 效 做 了 多 少 研究 ? 

口 是 否 有 统计 数据 表明 你 们 帮助 其 他 公司 降低 了 点 击 率 并 增加 了 报告 率 ? 





























提示 记 住 : 任何 人 都 可 以 写 出 让 人 上 当 的 钓鱼 邮件 。 你 要 找到 的 是 可 以 帮助 你 做 
出 积极 改变 的 人 。 


除了 问 上 述 问 题 以 外 ， 也 要 确保 与 曾经 跟 他 们 合作 过 的 客户 谈 谈 。 试 着 从 其 他 客户 
那里 了 解 这 些 顾 问 究 竟 只 是 为 了 寻求 刺激 而 工作 ， 还 是 真 的 愿意 看 着 他 们 的 客户 取 
得 成 功 。 





为 什么 这 些 标准 很 重要 呢 ? 当 你 选择 了 一 个 顾问 时 , 也 就 同意 了 将 你 们 公司 所 有 员工 
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的 邮件 地 址 交 给 他 或 她 ， 以 便 他 或 她 能 给 所 有 员工 发 送 钓鱼 邮件 。 这 些 邮件 可 能 会 请 
求 验证 信息 或 者 包含 个 人 信息 的 细节 ,因此 你 需要 相信 你 雇用 的 这 个 人 值得 信任 ,可 
以 妥善 地 处 理 这 些 情 况 。 

















8.2 ”总结 


据 估计， 每 小 时 有 1450 亿 封 邮件 被 发 送出 去 。 我 读 过 一 些 报道 ， 有 的 声称 50% 的 邮 
件 都 是 恶意 邮件 ， 有 的 说 是 30%, 还 有 说 20% 的 。 姑 且 按 照 20% 来 计算 , 那么 过 去 的 
一 个 小 时 内 ， 有 290 亿 封 恶意 邮件 在 全 球 各 地 被 发 送出 去 。29 000 000 000! 这 个 数字 
让 人 震惊 。 












































这 个 问题 不 会 消失 , 但 是 你 可 以 反击 。 你 可 以 帮助 你 的 公司 抵御 和 减轻 钓鱼 攻击 的 损 
害 。 正 如 我 们 在 本 书 中 试图 解释 的 那样 ， 没 有 魔法 药 或 者 一 步 到 位 的 解决 办 法 ,但 是 
通过 努力 、 坚 持 和 合理 规划 ， 你 同样 可 以 取得 成 功 。 
































现在 你 已 经 知道 , 我 和 米黄 尔 觉 得 钓鱼 攻击 是 每 个 人 都 必须 注意 的 重要 问题 , 但 我 们 
也 意识 到 这 并 不 是 唯一 值得 关注 的 问题 。 我 非常 清楚 ,还 有 很 多 层面 的 安全 问题 需要 
警惕 一 一 网 络 、 人 类 ， 以 及 处 于 两 者 之 间 的 所 有 东西 。 











我 和 米 软 尔 希 望 本 书 能 够 对 你 的 工作 有 所 帮助 。 如 果 你 在 阅读 本 书 ,但 你 并 不 在 IT 
部 门 工作 ， 那 么 我 希望 它 可 以 帮助 你 理解 为 什么 钓鱼 攻击 培训 对 于 保证 安全 十 分 重 
要 ， 无 论 是 在 家 中 还 是 在 工作 中 。 



































保持 批判 性 思维 ,不 要 轻信 那些 链接 ， 让 动作 慢 下 来 ,检查 得 更 仔细 一 些 。 如 果 你 能 
做 到 这 些 ， 那 么 人 你“ 上钩 ”的 概率 就 会 大 幅度 降低 。 


保证 安全 。 
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钓鱼 邮件 是 一 种 利用 人 性 弱点 进行 欺诈 的 社会 工程 手段 。 权 威 调查 机 构 数据 显示 ， 全 球 每 天 有 几 百 
亿 封 左右 的 垃圾 邮件 。 这 些 邮件 已 经 成 为 骗子 和 恶意 社会 工程 人 员 渗 透 进 人 们 生活 和 工作 的 利器 ， 给 个 
人 以 及 组 织 机 构 的 网 络 安全 造成 了 严重 威胁 。 
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在 安全 培训 中 创建 自己 的 钓鱼 攻击 培训 项 目 。 
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